Estou configurando alguns servidores seguros do Ubuntu com criptografia completa de disco. Eles têm uma pequena partição de inicialização e um grande disco criptografado LUKS com LVM para fornecer o restante das partições. Atualmente, eles estão configurados para exigir uma senha no boot. No entanto, eu queria saber se havia uma maneira de obter sua chave de descriptografia de um servidor TFTP, compartilhamento NFS ou similar, o que me permitiria reinicializar meus servidores sem a necessidade de acesso ao console. Eu ainda iria criptografar o servidor de chaves e exigiria acesso ao console e uma senha para inicializar isso, mas eu teria que lidar apenas com a inserção de uma frase secreta para uma caixa versus o que provavelmente se tornaria 20 servidores criptografados.
Como tudo isso é em um ambiente virtual, criaria uma rede completamente separada para o tráfego principal sem link para o restante da minha rede. Ainda é arriscado, sim, mas o objetivo principal é tornar a captura física de meus servidores infrutífera, já que a invasão externa da minha WAN não é algo que a criptografia de disco possa ajudar, de qualquer forma.
Existe uma maneira de conseguir isso? O que estou tentando fazer faz sentido?
Não há muito sentido em usar a criptografia de disco se você tiver um servidor que envie a chave de descriptografia para qualquer pessoa que solicite isso. Você não pode fazer nenhuma autenticação significativa de um cliente que ainda não tenha sido inicializado; O melhor que você pode fazer é verificar o endereço MAC, que um invasor pode facilmente falsificar.
De grub? Sim, isso é possível. Em teoria. Mas isso ainda não foi feito. Você terá que escrever (ou melhor, modificar) um ou dois módulos do GRUB para obtê-lo.
Se você não se importa se o código para baixá-lo está no initrd, então é bastante simples - "keyscript" é um script que retorna a chave. Veja "man crypttab". Ele será incluído no initramfs automaticamente, mas você terá que escrever um script "hook" de "initramfs-tools" para incluir todos os binários que você precisa chamar no momento da inicialização. (I.E. seu programa TFTP)
Parece uma coisa que vale a pena fazer. Eu tenho pensado "pequeno computador alimentado por bateria com a chave na memória RAM, programado para excluir a chave quando o cabo de rede está desconectado." Dessa forma, se alguém roubar seus computadores, eles não recebem dados. Não seria tão seguro quanto digitar a senha toda vez em cada computador, mas é mais seguro do que uma chave USB que você tem (que pode ser roubada) e MUITO mais fácil de usar.
Se você também se certificar de que a única outra chave é conhecida por alguém em uma jurisdição diferente, então você também é um pouco à prova de fraude. Eles podem levar os computadores, mas eles não têm nenhuma maneira de decifrá-los, nem podem intimar quem o fizer. (Como você, por exemplo).
Tags encryption ubuntu grub