Estou planejando implantar um servidor em um local do cliente, provavelmente de sistema baseado em linux / bsd. Como posso garantir que o servidor está protegido contra roubo de dados / replicação, por exemplo. alguém (talvez o próprio cliente) fazendo cópias duplicadas do disco. Eu entendo que a criptografia de disco pode ajudar, mas qualquer pessoa com uma chave de acesso válida pode descriptografar, existe alguma maneira de torná-la transparente do usuário / cliente, para que ele não precise digitar a senha no momento da inicialização.
A única maneira que conheço é incluir a chave de acesso em uma partição não criptografada no disco rígido. Pouco seguro - o cliente pode ler essa partição.
A única maneira 'segura' seria amarrar a criptografia no hardware de alguma forma para que os discos (ou imagens dos discos) só possam ser usados em um conjunto de hardware - talvez use algo como a ID da BIOS como parte do chave de criptografia talvez? Não tenho certeza de como você faria isso.
Você pode armazenar os dados confidenciais em uma partição criptografada e solicitar que alguém faça login por meio do SSH e insira uma chave para desbloqueá-lo. Obviamente, após uma reinicialização, o sistema não estará funcionando corretamente até que alguém o desbloqueie.
Isso não funcionará dessa maneira.
Se você quiser proteger contra roubo físico, a chave deve ser armazenada fora do local. Mantê-lo em um servidor especial não ajudará contra alguém que possa convencer seu servidor a revelar a chave como se uma inicialização normal estivesse em andamento ou modificar o processo de inicialização para despejar a chave. (Sem revelar a chave, não há como desbloquear os dados.)
Além disso, não importa qual software você usa, ainda será possível fazer uma cópia exata do conteúdo da unidade, tanto pelo ladrão quanto pelo cliente. Algum tipo de solução de hardware seria necessário.
No final, quem tem acesso físico pode encontrar uma maneira de contornar a segurança.
Veja a parte 7:
7. Examples
7.1. Example 1 - Encrypting swap on 2.4 and newer kernels
7.2. Example 2 - Partition backed loop with gpg encrypted key file
7.3. Example 3 - Encrypted partition that multiple users can mount
7.4. Example 4 - Encrypting /tmp partition with random keys
7.5. Example 5 - Encrypting root partition
7.6. Example 6 - Boot from CD-ROM + encrypted root partition
7.7. Example 7 - Boot from USB-stick + encrypted root partition
7.8. Example 8 - Encrypted partition using serpent cipher
Tags linux freebsd disk-encryption