LINUX.ORG.RU

Велосипед с монтированием шифрованных разделов

 , , ,


0

2

Доброго, безопасники!

Тут мне подкинули типовую задачу. Сервачок стоит в достаточно доступном месте. Тогда нужно шифроваться, ага. Нужно, чтобы знающие сотрудники через браузер монтировали что и где надо, а в случае чего не дать возможности злоумышленникам (властям) перехватить ключи шифрования.

Накидал вот такой себе такой лисапедик -> гитхаб.

Пишите, если есть замечания. Может подобных решений миллион, ну ладно.

UPD. Модель - неизвестные (не отв сотр и он ничего не сливал) вынесли комп, фсё.

http - любой сможет посмотреть в локалке, что/куда ездит.
я в свое время делал иначе - dropbear и putty для тех, кому надо было, но не мог в линукс.

pekmop1024 ★★★★★ ()

Мне вот, например, было бы куда более интересно заиметь поддержку сети и ssh в grub'е, чтобы даже шифрованный /boot можно было делать на удаленных машинах.

А вообще баловство это все, от evil maid attack ничто не спасёт, и нужно это чётко осознавать.

pekmop1024 ★★★★★ ()

Подобных решений миллион. Если ты нагородил свое, то это отличный повод его выкинуть, не рассматривая.

А тебе обязательно интерактивное или network-bound disk encryption тоже подойдёт? Если второе, то решений примерно два миллиона.

t184256 ★★★★★ ()
Ответ на: комментарий от pekmop1024

А вообще баловство это все, от evil maid attack ничто не спасёт, и нужно это чётко осознавать.

Вообще-то как раз против них по идее и придуман Secure Boot (а не чтобы винду и угодные дистры безальтернативно впаривать).

praseodim ★★★★ ()

чего не дать возможности злоумышленникам (властям) перехватить

После этого читать дальше нет смысла, помогать тем более.

anonymous ()
Ответ на: комментарий от TheAnonymous

Если заменить ящик, коннект по ssh с ключами точно не пройдет. Ибо надо будет достать из ящика закрытый ключ. А как это сделать, если SecureBoot и пошифровано все?

Впрочем, при наличии физического доступа потенциально может быть, что угодно, вплоть до подключения к материнке. Да и уязвимость через DMA часто встречается.

Некоторые продукты ее даже штатно эксплуатируют, например, https://www.elcomsoft.ru/efdd.html

* Атакой через порт FireWire (компьютер должен быть включен, а зашифрованные тома – подключены). Для проведения атаки через порт FireWire требуется дополнительный компьютер с установленным бесплатным продуктом (например, Inception).

* Снятие образа оперативной памяти при помощи встроенного инструмента (есть возможность запуска с USB накопителя)

Другое дело, что если от таких стандартных уже вещей защтиться, то особо изощренных методов, требующих индивидуальной работы, в обычных ситуациях ожидать не стоит.

praseodim ★★★★ ()
Ответ на: комментарий от praseodim

А как это сделать, если SecureBoot и пошифровано все?

Так /boot (или где там это всё хозяйство) не пошифрован, через него же ключи вводятся. Так что тупо достать винт можно.

TheAnonymous ★★★★★ ()
Ответ на: комментарий от TheAnonymous

Так /boot (или где там это всё хозяйство) не пошифрован, через него же ключи вводятся. Так что тупо достать винт можно.

А вот тут кажется TPM-модуль может помочь. Как ни странно есть в продаже, я даже удивился. Если конечно я правильно понял, что его нельзя тупо переставить в другой комп и извлечь ключ для расшифровки диска.

praseodim ★★★★ ()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от t184256

от подмены ноута на другой

Если не имеешь квартиры которая на ключ запирается и спишь в парке на лавочке - используй ноут вместо подушки.

Подменить ноут … а как быть с ПО, документами, как их скопипастьть на новый.

anonymous ()
Ответ на: комментарий от anonymous

Там у тебя

Note that signature checking does not prevent an attacker with (serial, physical, ...) console access from dropping manually to the GRUB console and executing:
set check_signatures=no

И вообще, если он (сервер) как-то сам запускается, значит ключ в открытом виде и его можно достать.
Единственное - если он в TPM, как выше сказано, тогда это может помочь.
Хотя там тоже всё мутновато. Например, одно время на ноутбуках, продающихся в России, их выпиливали (на thinkpad наклейка NON-ENCRYPTION). В том, что продаётся официально, вполне могут быть закладки от тов.майора (по крайней мере от американского), закрытый зонд, все дела. Ну и насколько это всё поддерживается линуксами и grub, тоже вопрос.

TheAnonymous ★★★★★ ()
Последнее исправление: TheAnonymous (всего исправлений: 1)
Ответ на: комментарий от anonymous

Храню ноут под замком, а твой поток сознания не понимаю.

Подменить ноут … а как быть с ПО, документами, как их скопипастьть на новый.

Сделать полную копию зашифрованного диска, только добавить сливалку пароля в initramfs / загрузчик / что угодно. А если не хочешь заморачиваться или мешает какой-нибудь SecureBoot - не переносить на новый вообще. Главное выдавать убедительную картинку до ввода пароля, пароль от диска свистнуть, а дальше уже и пофиг.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Можно еще придумать аутентификацию ноута (компа). Например, заранее распечатать или запомнить какие-то кодовые слова. Набираешь, например первый пароль, расшифровывающий часть boot, а потом цифру 15. В ответ ноутбук высвечивает правильное кодовое слово, соответствующее этому номеру. Высветил - вводим основной пароль. Не высветил правильного - не вводим.

Правда все-равно нет гарантии, что параллельно ввод и вывод не дублируются с настоящего ноутбука. Но такой фокус существенно сложнее простой подмены.

praseodim ★★★★ ()
Последнее исправление: praseodim (всего исправлений: 2)