2
การบูทอัตโนมัติและการรักษาความปลอดภัยเซิร์ฟเวอร์ Linux ด้วยระบบไฟล์ที่เข้ารหัส
ฉันกำลังตั้งค่าเซิร์ฟเวอร์ Ubuntu ใหม่และฉันต้องการรักษาความปลอดภัยข้อมูลจากการโจรกรรม รูปแบบการคุกคามคือผู้โจมตีที่ต้องการฮาร์ดแวร์หรือผู้โจมตีที่ต้องการข้อมูล โปรดรับทราบในส่วนนี้ รูปแบบการคุกคามไม่ได้รวมถึงผู้โจมตีที่ต้องการข้อมูล ฉันคิดว่าพวกเขาจะทำอย่างน้อยหนึ่งอย่างต่อไปนี้: ต่อ UPS เข้ากับสายไฟเพื่อให้เครื่องทำงานอย่างต่อเนื่อง แทรกอีเทอร์เน็ตบริดจ์หนึ่งคู่ระหว่างคอมพิวเตอร์และจุดสิ้นสุดเครือข่ายที่จะลดทราฟฟิกผ่านเครือข่ายไร้สายในช่วงที่เพียงพอซึ่งโฮสต์จะรักษาการเชื่อมต่อเครือข่าย เปิดกล่องและใช้โพรบบนบัสหน่วยความจำเพื่อจับสิ่งที่น่าสนใจ ใช้อุปกรณ์ TEMPEST เพื่อตรวจสอบสิ่งที่โฮสต์กำลังทำอยู่ ใช้วิธีการทางกฎหมาย (เช่นคำสั่งศาล) เพื่อบังคับให้ฉันเปิดเผยข้อมูล อื่น ๆ ดังนั้นสิ่งที่ฉันต้องการคือมีบางส่วนหรือทั้งหมดของข้อมูลบนดิสก์บนพาร์ติชันที่เข้ารหัสด้วยวัสดุสำคัญที่จำเป็นในการเข้าถึงบนสื่อภายนอกบางประเภท สองวิธีที่ฉันคิดได้สำหรับการจัดเก็บวัสดุสำคัญคือ: เก็บไว้ในโฮสต์ระยะไกลที่สามารถเข้าถึงได้ผ่านเครือข่ายและกำหนดค่าเครือข่ายเพียงพอที่จะดึงมันมาในระหว่างกระบวนการบูต การดึงข้อมูลจะได้รับอนุญาตเฉพาะที่อยู่ IP ที่กำหนดให้กับโฮสต์ที่ปลอดภัย (ดังนั้นจึงไม่อนุญาตให้เข้าถึงข้อมูลที่เข้ารหัสหากถูกบูตในการเชื่อมต่อเครือข่ายอื่น) และสามารถปิดการใช้งานโดยผู้ดูแลระบบหากพบว่าเครื่องถูกขโมย เก็บไว้ในอุปกรณ์เก็บข้อมูล USB ที่ทำในบางวิธีที่จะขโมยได้ยากกว่าโฮสต์อย่างมาก การค้นหาระยะไกลจากโฮสต์เช่นปลายสาย USB ยาวห้าเมตรที่นำไปสู่อีกมุมหนึ่งของห้องหรือแม้แต่ห้องอื่นอาจลดโอกาสที่ผู้โจมตีจะโจมตีได้ การรักษาความปลอดภัยในบางวิธีเช่นโดยการผูกมัดกับสิ่งที่ไม่สามารถเคลื่อนที่ได้หรือแม้แต่นำไปไว้ในที่ปลอดภัยก็จะทำงานได้ดีขึ้น ดังนั้นตัวเลือกของฉันสำหรับการตั้งค่านี้คืออะไร? อย่างที่ฉันพูดไว้ก่อนหน้านี้ฉันต้องการมีทุกอย่าง (นอกเหนือจากพาร์ติชันสำหรับบูตขนาดเล็กที่ไม่มี / etc) เข้ารหัสดังนั้นฉันไม่ต้องกังวลว่าจะวางไฟล์ไว้ที่ไหนหรืออยู่ที่ไหน ' กำลังลงจอดโดยไม่ได้ตั้งใจ เราใช้ Ubuntu 9.04 ถ้ามันสร้างความแตกต่าง