物理的アクセスにさらされるリモート展開されたサーバー上のデータの盗難を防止する[非公開]

13

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。

この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。

4年前に閉鎖されました。

物理的なアクセスにさらされているLinuxサーバーを保護する方法を考えています。私の特定のプラットフォームは、PC Enginesブランドのalix2d13マザーボード上の小型フォームファクターLinuxサーバーです。サイズが小さいと、攻撃者によって施設から持ち去られるリスクが増えます。

サーバーへの物理的なアクセスがあると仮定します。

1）ROOT-PASSWORD：コンソールケーブルをサーバーに接続すると、パスワードのプロンプトが表示されます。パスワードがわからない場合は、シングルユーザーモードでマシンを再起動し、パスワードをリセットできます。Voilà、ルートアクセスを取得します。

上記のセキュリティを確保するには、GRUBメニューにパスワードを挿入します。これにより、サーバーを再起動してシングルユーザーモードを開始するときに、GRUBパスワードを入力する必要があります。

2）GRUB_PASSWORD。マシンをシャットダウンした場合、ハードドライブを取り出して別のワークステーションにマウントすると/boot、GRUBパスワードを見つけることができるgrub.cfgファイルを含むディレクトリを参照できます。GRUBパスワードを変更するか、削除することができます。

明らかに、私たちが大規模な実稼働マシンについて話すとき、おそらく物理的なアクセスはないでしょう。それ以外は、たとえ誰かがサーバーに物理的にアクセスしても、シャットダウンしません。

物理的に簡単に盗むことができるサーバーでのデータ盗難を防ぐための可能な解決策は何ですか？

私がそれを見る方法、含まれているデータへの何らかの方法でアクセスすることができます。

linux security

— ジョマンダ
ソース

3

起動するたびに復号化パスワードを入力する場合を除き、できることはあまりありません。復号化は、適切なネットワーク上にある場合にのみ利用可能なネットワークサービスと通信することで実行できます。これはあまり安全ではありませんが、泥棒が現場にいる間にデータにアクセスしようとしない場合をカバーするには十分です。しかし、標的とされた攻撃者は、電源を切らずにマシンを盗むことさえできます。私はそれが数分間それを動かし続けるのに多くのバッテリー容量を必要としないと思う。

— カスペルド

12

具体的に埋めてください。それは確かに盗難を防ぐでしょう！

— マイケルハンプトン

14

脅威モデルが何であるかは明確ではありません。物理的な侵害に対して無防備なデバイスが必要ですか？それは非常に複雑で高価になります。コンピューターは保管庫ではありません。ボールトが必要な場合は、ボールトが必要です。

— デビッドシュワルツ

3

@BlueCompute質問はプロの環境でも発生する可能性があるため、ここに留まる必要があります。

— ニルス

3

@giomandaそして、それの「threaのトンのモデル」。そして、それが意味することの一部は、あなたが何を保護しているのか、何からそれを保護しているのかを完全に理解しなければならないということです。SEALチーム6を使用して、アルカイダからノックス砦を守ることはできますが、近所の泥棒から新しいプラズマテレビを守ることはできません。

— デビッドシュワルツ

18

私がいつも取り組んできたルールは、攻撃者がホストに物理的にアクセスすると、最終的に侵入することができるということです-kasperdが言うように、ブートパスワードで強力な全ディスク暗号化を使用し、ホストが起動するたびに入力します。

— アンドリュー・シュルマン
ソース

14

そしてその後も、物理的にアクセスできるsomwoneは...起動パスワードを入力し、したがって、パスワードを学ぶために使用されるキーボードを交換するかもしれない

— ハーゲン・フォン・Eitzen

2

@HagenvonEitzenソリューション：独自のキーボードを持ち歩き、ボックスの物理USB（またはPS / 2）ポートを改ざん防止します。

— ジュール

10

@JulesMazur Counterattack：Evil Maidがオンボードファームウェアを再フラッシュします。

— CVn

1

@MichaelKjörlingDefense：ファームウェアパスワード、物理的、堅牢にロックされたサーバーボックス。

— ジュール

6

MichaelKjörling@あなたは、キーボードおよび/またはファームウェアをハイジャック悪メイドのロービングギャングとあまりにも安全になることはありません

— ジュール・

10

私が知っている解決策は、ディスクを暗号化し、TPM：Trusted Platform Moduleを使用することです

このようにして、ハードドライブを次のように復号化する方法があります。

フルディスク暗号化アプリケーション[...]は、このテクノロジー[TPM]を使用して、コンピューターのハードディスクの暗号化に使用されるキーを保護し、信頼できるブートパス（BIOS、ブートセクターなど）の整合性認証を提供できます。サードパーティのフルディスク暗号化製品もTPMをサポートしています。ただし、TrueCryptは使用しないことにしました。-ウィキペディア

もちろん、間違っている可能性があり、TPMが簡単に解読されるか、他の解決策がわからない場合があります。

— ColOfAbRiX
ソース

正解です。TPM、暗号化されたドライブ、およびUEFI署名では、部外者がドライブを読み取ったり、ブートローダーを変更して暗号化を回避したりすることはできません。

— ロングネック

この機能を任意のコンピューターに追加するためのTPMを備えたUSBペンが存在するかどうかを知ることは興味深いでしょう。

— ColOfAbRiX

1

いいえ、BIOSがtpmを管理する必要があるためです。

— ロングネック

3

物理的なアクセスでは、TPMでさえ多くのことは行われません...マシンの起動時にTPMチップからデータを簡単に盗聴したり、コンピューターに気付かれずにコンピューターのメモリ全体にアクセスしたりできます」キー。

2

TPMは、PCI列挙に応答しないが、後でDMA経由でOSを上書きするバス上のPCIデバイスに分類されます。

— -joshudson

7

フルディスク暗号化は、ラップトップや小規模なホームサーバーに適しています。

フルディスク暗号化にはTPMは必要ありません。そしてTPMでさえ、洗練された邪悪なメイドの攻撃からあなたを守ることができません。したがって、小さなホームLinuxサーバー（またはデータセンター）を本当に保護するには、適切な他の物理的な対策が必要です。

自宅での使用例では、次のようなクリエイティブなDIYハードウェアをインストールするだけで十分かもしれません。

戻ってきたときに物理的な侵入を認識でき、
物理的な侵入の試みでコンピューターの電源を中断します。

いくつかの巨大企業や強力な政府機関が敵として直面しているジャーナリストや内部告発者にとって、これはおそらくまだ十分に安全ではありません。これらの3文字の機関には、電源を切ってから数分後でも RAMからクリアテキストを回収するために必要なフォレンジック機器があります。

— ペフ
ソース

7

これは簡単な解決策です：シングルユーザーモードなしでカーネルを再構築してください！

もっと適切に言えば、モードSがデフォルトモード（3,4,5）に再マップされるように、使用しているLinuxカーネルを編集します。これにより、シングルユーザーモードで起動しようとすると、システムが正常に起動します。initスクリプトでもおそらく同じことを行うことができます。そうすれば、パスワードを知らずにシステムに入る特別な手段はありません。

— アルカイン
ソース

それでもgrubプロンプトにアクセスできる場合は、カーネルパラメータをに変更できますinit=/bin/bash。これにより、ルートbashシェルが起動し、そこでマウントできます/。

— イェンスティマーマン

Grubは、シェルへのアクセスを許可しないように常に構成できます。

— アルカイン

この質問に対する他の回答で既に指摘されているように、熟練した攻撃者がコンピューターに物理的にアクセスできる場合、再構築カーネルは、貴重な秘密データの宝石を含む墓に向かう途中の古いクモの巣にすぎません。:-)

— pefu

3

上に行って、エレクトロニクスのサイトで質問してください。すべてを暗号化する組み込みSOCデザインがあり、それを融合すると、リバースエンジニアリングが「不可能」になると確信しています。

とは言うものの、私はDefConのプレゼンテーションで、チームがどのように分解したかを正確に示しました。多くの場合、チップが融合されていないか、チップの設計に未接続のデバッグポートが含まれていました。他の人は、チップ層を化学的に除去し、電子顕微鏡スキャンでチップを読み取りました。本当に献身的なハッカーから決して安全ではありません。

— ザンリンクス
ソース

1

破壊的な予防策を検討する場合は、別のアプローチを提供したいと思います。hddおよびramに大容量のコンデンサをはんだ付けすることを検討してください。これにより、改ざん検出（メソッド/センサーを決定します）により破壊データが放電されます。

これは、誰もシステムにアクセスできないという空の意味でのアクセスを「防止」します。したがって、おそらく完全にあなたの意図を欠いている間、それは逐語的に質問に答えます。

コンデンサはほんの一例です。他の可能性があります。問題は、デバイス（または少なくともデバイスに含まれるデータ）の気象破壊が許容されることです。

タイマーベースのソリューションも可能です-デバイスが数分/時間ごとに家にpingを送信できない限り......それは自己破壊します。このテーマに沿った多くの異なる可能性。

— ダニエル
ソース

少なくとも回転式HDDでは、プラッタを別の同じモデルのドライブに移植でき、PCBが完全に破壊された場合でも問題なく読み取ることができます。（SSDについてはわかりませんが、それほど難しいとは思わないでしょう。）これは、データ復旧会社が常に行っていることです。妥当な程度の確実性で（このようなことはまだ確実ではありません！）このようなことをしようとする場合は、ドライブの腸内に小さな爆発物を入れてください。意図した破壊力とは無関係の理由で、回転HDDよりもSSDの方がうまく機能します。

— CVn

@MichaelKjörlingテルミットは行くべき道です。hddの爆発物は、データを実際に破壊するために比較的大きな爆発を必要とします。爆発物が実際にドライブ内にある場合、一番上のプラッターを破壊しますが、ドライブプラッターはかなり重く、かなり危険な量の爆発物がなければ焼却することはできません。しかし、テルミットは非常に素晴らしい金属を燃やします。

— DanielST

1

潜在的な解決策は、フルディスク暗号化を使用し、キーをUSBスティック/メモリカードに置き、いくつかの環境センサーとともに、開閉スイッチを備えた単一のドアのある金属ボックスにコンピューターを入れることです。

USBドライブをポート（「ボールト」の外側）に配置し、そこからFDEキーを読み取り、システムを起動すると、デバイスを起動します。「vault」が開かれた場合、オープニングスイッチはシステムをリセットし、メモリからキーを消去します。

環境で許可されている場合は、温度、加速度、湿度などのセンサーを追加できます。報告された値に突然の変化が検出された場合、システムがリセットされるため、泥棒がシステムを持ち出してそれを置こうとしている場合彼のポケットからは、すべてのケーブルから切り離す前にすでにリセットされています。