暗号化されたファイルシステムを使用したLinuxサーバーの自動起動とセキュリティ保護

いくつかの新しいUbuntuサーバーをセットアップしていますが、それらのデータを盗難から保護したいと思います。脅威モデルは、ハードウェアを望んでいる攻撃者、またはデータを望んでいるむしろ素朴な攻撃者です。

このセクションに注意してください。

脅威モデルには、データを要求する賢い攻撃者は含まれません。私は彼らが以下の1つ以上を行うと思います：

1. マシンを継続的に稼働させるために、UPSを電源ケーブルに接続します。

2. ホストがネットワーク接続を維持するのに十分な範囲の無線ネットワークを介してトラフィックをブリッジするイーサネットブリッジのペアをコンピューターとネットワークターミネーションポイントの間に挿入します。

3. ボックスを開き、メモリバスでプローブを使用して興味深いものを取得します。

4. TEMPESTデバイスを使用して、ホストが何をしているかを調べます。

5. 法的手段（裁判所命令など）を使用して、データの開示を強制する

6. 等

暗号化されたパーティションのディスク上のデータの一部または理想的にはすべてを、ある種の外部メディアでアクセスするために必要なキーマテリアルとともに使用することです。キーマテリアルを保存するために考えられる2つの方法は次のとおりです。

1. ネットワーク経由でアクセス可能なリモートホストに保存し、ブートプロセス中に取得するのに十分なネットワークを構成します。取得は、セキュリティで保護されたホストに割り当てられたIPアドレスにのみ許可され（したがって、暗号化されたデータが別のネットワーク接続で起動された場合、暗号化されたデータへのアクセスを許可しません）、マシンが盗まれたことが検出された場合、管理者によって無効にされます。

2. 何らかの方法で、ホスト自体よりもはるかに盗むのが難しいUSBストレージデバイスに保存します。部屋の別のコーナーや別の部屋につながる5メートルのUSBケーブルの端など、ホストから離れた場所に配置すると、攻撃者がそれを奪う可能性が大幅に低下します。動かないものにチェーンするなど、何らかの方法でそれを保護するか、安全な場所に入れることで、さらにうまくいきます。

これを設定するための私のオプションは何ですか？前に言ったように、（/ etcを含まない小さなブートパーティションは別として）すべてを暗号化することをお勧めします。そうすれば、ファイルをどこに置くか、どこに置くかを心配する必要がなくなります。誤って着陸します。

Ubuntu 9.04を実行しています（違いがある場合）。

私はMandosと呼ばれるオプション1の賢いバリアントを知っています。

ルートパーティションのキーパスワードを安全に取得するために、初期RAMディスクに追加されたGPGキーペア、Avahi、SSL、およびIPv6の組み合わせを使用します。MandosサーバーがLAN上に存在しない場合、サーバーは暗号化されたブリックであるか、Mandosサーバーは一定期間Mandosクライアントソフトウェアからのハートビートを認識していないため、そのキーペアとサーバーに対する今後のリクエストを無視します次回起動時に暗号化されたブリックです。

Mandosホームページ

マンドスREADME

技術的でない攻撃者から保護することだけを考えている場合、最善の策は物理的セキュリティの向上です。

したがって、私の考えは次のとおりです。

キー素材を入力するために人間の介入を必要としないブーツを探している場合、技術的なスキルを持つアタッチャーによる偶発的な盗難からも安全なソリューションを考え出すことはできません（より適切には、技術的なスキルを持つ人に支払いをする能力）。

キーマテリアルをUSBサムドライブのようなものに入れても、実際のセキュリティは提供されません。攻撃者はサムドライブからキーを読み取ることができます。サムドライブは、接続されているコンピューターがサーバーコンピューターであるか、攻撃者のラップトップであるかを判断できません。攻撃者がしなければならないのは、すべてを確実に取るか、USBキーを15フィートの長さのUSBエクステンドケーブルの端に置いて金庫の中に固定し、エクステンドケーブルをPCに差し込んで読むだけキー。

ネットワーク経由でキーを転送する場合は、おそらく「暗号化」するでしょう。攻撃者がしなければならないことは、キーイングプロセスを盗聴し、サーバーを盗み、ネットワーク経由でキーを送信したときに行った「暗号化」をリバースエンジニアリングすることだけです。定義上、ネットワーク経由で「暗号化された」キーを受信するサーバーコンピューターは、使用するためにそのキーを「復号化」できる必要があります。したがって、実際には、キーを暗号化するのではなく、単にエンコードするだけです。

最終的には、サーバーにキーを入力するために（人工？）インテリジェンスが必要です。「私は、サーバーコンピューター以外にキーを漏らしていないことを知っており、盗まれていないことを知っています。」人間はこれを行うことができます。USBサムドライブはできません。それを行うことができる別のインテリジェンスを見つけた場合、市場性のあるものがあると思います。>スマイル<

セキュリティを確保できずにキーを失い、データを破壊する可能性が最も高いと思います。暗号化ゲームの戦略の代わりに、物理的なセキュリティを強化した方が良いと思います。

編集：

おそらく、「脅威モデル」という用語のさまざまな定義から取り組んでいると思います。

脅威モデルがハードウェア盗難である場合、提案されたソリューションre：ディスク暗号化は、私が見るように、脅威に対抗することについて何もしません。提案されたソリューションは、ハードウェアの盗難ではなく、データの盗難に対する対策のように見えます。

ハードウェアが盗まれないようにしたい場合は、ボルトで固定し、ロックして、コンクリートで包むなどする必要があります。

私は言いたいことを既に言いました：データの盗難、それから私は再び言うことを除いて、それを言うことを除いて：あなたがキーを物理デバイスに入れて、あなたが保護できないならサーバーコンピューターが盗まれないようにする場合は、キーデバイスも盗まれることから保護することはできません。

あなたの最良の「安い」解決策は、ある種のネットワークベースの鍵交換を装備することだと思います。再起動時にキーの「リリース」を認証するために、1人以上の人間をループに入れます。人間がキーを「リリース」するまでダウンタイムが発生しますが、少なくともキーの「リリース」が要求された理由を見つけて、そうするかどうかを決定する機会を与えます。