Estou tentando pensar em uma maneira de proteger os servidores Linux expostos ao acesso físico. Minha plataforma específica são servidores Linux de pequeno formato em uma placa mãe de um PC Engines alix2d13 . O tamanho pequeno apresenta um risco adicional de remoção das instalações por um invasor.
Supondo que haja acesso físico ao servidor:
1) SENHA ROOT: Você conecta um cabo de console ao servidor e recebe uma solicitação de senha. Se você não souber a senha, poderá reiniciar a máquina no modo de usuário único e redefinir a senha. Voilà, você tem acesso root.
Para garantir o acima, insira uma senha no menu GRUB para que o servidor seja reiniciado para entrar modo de usuário único, você deve fornecer a senha do GRUB.
2) GRUB_PASSWORD. Se você desligar a máquina, retirar o disco rígido e montá-lo em outra estação de trabalho, poderá procurar o diretório /boot , que contém o arquivo grub.cfg, dentro do qual você pode encontrar a senha do GRUB. Você pode alterar a senha do GRUB ou excluí-la.
Obviamente, quando falamos de grandes máquinas de produção, provavelmente não haverá acesso físico e, além disso, mesmo que alguém tenha acesso físico ao servidor, ele não a desligará.
Quais são as soluções possíveis para impedir o roubo de dados em servidores que são fisicamente fáceis de roubar?
Do jeito que eu vejo, de uma forma ou de outra, o acesso aos dados contidos pode ser obtido.
A regra de que sempre trabalhei é que, uma vez que um invasor tenha acesso físico ao seu host, ele poderá invadi-lo - a menos que, como diz kasperd, você use criptografia strong de todos os discos com uma senha de inicialização e disposto a estar lá para entrar sempre que o anfitrião inicializar.
A solução que conheço é criptografar o disco e usar um TPM: Trusted Platform Module
Desta forma, há agora uma maneira de descriptografar o disco rígido como:
Full disk encryption applications [...] can use this technology [TPM] to protect the keys used to encrypt the computer's hard disks and provide integrity authentication for a trusted boot pathway (for example BIOS, boot sector, etc.) A number of third party full disk encryption products also support TPM. However, TrueCrypt decided not to use it. - Wikipedia
É claro que posso estar errado e o TPM pode ser facilmente quebrado ou talvez eu não saiba outras soluções.
A criptografia total de disco é uma boa ideia para laptops e pequenos servidores domésticos.
A criptografia de disco completo não requer um TPM. E até mesmo um TPM é incapaz de protegê-lo contra um ataque maligno de empregada sofisticado. Portanto, para realmente proteger seu pequeno servidor Linux em casa (ou um data center), você precisa de outras medidas físicas apropriadas.
Para o seu caso de uso doméstico, pode ser suficiente instalar algum hardware DIY criativo que:
Para os jornalistas e denunciantes que enfrentam algumas grandes empresas ou poderosas agências governamentais como seus inimigos, isso provavelmente ainda não é seguro o suficiente. Estas agências de três letras podem ter o equipamento forense necessário para recuperar texto não criptografado da RAM mesmo minutos após o desligamento .
Aqui está uma solução simples: reconstrua o kernel sem o modo de usuário único!
Mais apropriadamente, edite o kernel do linux que você está usando para que o modo S seja remapeado para qualquer que seja seu modo padrão (3,4,5). Dessa forma, qualquer tentativa de inicializar no modo de usuário único inicia o sistema normalmente. Você provavelmente poderia fazer a mesma coisa nos scripts de inicialização. Dessa forma, não haveria nenhum meio especial de entrar no sistema sem saber a senha.
Vá até lá e pergunte no site da Eletrônica. Tenho certeza de que há projetos SOC incorporados que criptografam tudo e, depois que você os funde, é "impossível" fazer engenharia reversa.
Dito isso, eu estava em uma apresentação da DefCon, onde a equipe mostrou exatamente como eles a desmontaram. Em muitos casos, os chips não foram fundidos, ou o design do chip incluiu insensatamente uma porta de depuração desconectada. Em outros, eles removeram quimicamente as camadas de aparas e leram o chip com uma varredura de microscópio eletrônico. Você nunca estará a salvo de hackers realmente dedicados.
Eu gostaria de oferecer uma abordagem diferente, se você estiver disposto a considerar medidas preventivas destrutivas. Considere soldar um capacitor de grande capacidade ao seu disco rígido e memória ram, que na detecção de adulteração (você decide o método / sensores) descarrega dados destruídos.
Isso "impede" o acesso no sentido vazio de ninguém poder acessar o sistema depois. Então, ele responde a pergunta na íntegra, enquanto possivelmente está perdendo completamente sua intenção.
Um capacitor é apenas um exemplo. Existem outras possibilidades. O problema é a destruição do dispositivo pelo tempo (ou pelo menos os dados que ele contém) é aceitável.
Solução baseada em temporizador também é possível - a menos que o dispositivo possa pingar para casa a cada poucos minutos / horas / ... ele é auto-destruído. Muitas possibilidades diferentes ao longo deste tema.
Uma solução potencial seria usar criptografia completa de disco, colocar a chave em um pen drive / cartão de memória e colocar o computador em uma caixa de metal com uma única porta que tenha um interruptor de abertura, junto com alguns sensores ambientais.
Para inicializar o dispositivo uma vez que você coloque a unidade USB na porta (do lado de fora do "cofre") e ele lê a tecla FDE e inicializa o sistema. Se o "cofre" for aberto, a chave de abertura reinicializará o sistema, apagando a chave da memória.
Se o ambiente permitir, você pode adicionar mais sensores, como temperatura, aceleração, umidade, etc. Se uma alteração súbita for detectada nos valores relatados, o sistema será redefinido, portanto, se um ladrão estiver apenas tentando levar o sistema e colocá-lo no bolso ele já será redefinido antes mesmo de desconectá-lo de todos os seus cabos.