いくつかの新しいUbuntuサーバーをセットアップしていますが、それらのデータを盗難から保護したいと思います。脅威モデルは、ハードウェアを望んでいる攻撃者、またはデータを望んでいるむしろ素朴な攻撃者です。
このセクションに注意してください。
脅威モデルには、データを要求する賢い攻撃者は含まれません。私は彼らが以下の1つ以上を行うと思います:
マシンを継続的に稼働させるために、UPSを電源ケーブルに接続します。
ホストがネットワーク接続を維持するのに十分な範囲の無線ネットワークを介してトラフィックをブリッジするイーサネットブリッジのペアをコンピューターとネットワークターミネーションポイントの間に挿入します。
ボックスを開き、メモリバスでプローブを使用して興味深いものを取得します。
TEMPESTデバイスを使用して、ホストが何をしているかを調べます。
法的手段(裁判所命令など)を使用して、データの開示を強制する
等
暗号化されたパーティションのディスク上のデータの一部または理想的にはすべてを、ある種の外部メディアでアクセスするために必要なキーマテリアルとともに使用することです。キーマテリアルを保存するために考えられる2つの方法は次のとおりです。
ネットワーク経由でアクセス可能なリモートホストに保存し、ブートプロセス中に取得するのに十分なネットワークを構成します。取得は、セキュリティで保護されたホストに割り当てられたIPアドレスにのみ許可され(したがって、暗号化されたデータが別のネットワーク接続で起動された場合、暗号化されたデータへのアクセスを許可しません)、マシンが盗まれたことが検出された場合、管理者によって無効にされます。
何らかの方法で、ホスト自体よりもはるかに盗むのが難しいUSBストレージデバイスに保存します。部屋の別のコーナーや別の部屋につながる5メートルのUSBケーブルの端など、ホストから離れた場所に配置すると、攻撃者がそれを奪う可能性が大幅に低下します。動かないものにチェーンするなど、何らかの方法でそれを保護するか、安全な場所に入れることで、さらにうまくいきます。
これを設定するための私のオプションは何ですか?前に言ったように、(/ etcを含まない小さなブートパーティションは別として)すべてを暗号化することをお勧めします。そうすれば、ファイルをどこに置くか、どこに置くかを心配する必要がなくなります。誤って着陸します。
Ubuntu 9.04を実行しています(違いがある場合)。