como planejo partições para a criptografia LUKS de um servidor CentOS 7?

2

Um servidor web do CentOS 7 precisa de uma criptografia em repouso . Eu gostaria de usar a criptografia LUKS para isso, mas preciso de orientação para planejar como. Posso usar LUKS encryption para criptografar a unidade inteira como uma unidade em um servidor da web ao vivo?

IMy ISP me disse que eu preciso manter duas partições não criptografadas, uma como a partição de inicialização e outra para permitir que o CentOS 7 estabeleça o estado do sistema operacional. Assim, sou informado de que apenas partições adicionais seriam criptografadas. Como faço para determinar quais elementos do sistema de arquivos devem ser mantidos na partição do estado do sistema operacional e quais elementos do sistema de arquivos devem ser movidos para uma partição ou partições criptografadas?

Eu gostaria de usar o VirtualBox para configurar duas máquinas virtuais do CentOS 7 no servidor.

1.) A primeira máquina virtual hospedaria aplicativos da web que possuem conectividade https e smtp com a Internet.

2.) A segunda máquina virtual hospedaria os bancos de dados MySQL para a primeira máquina virtual. E a segunda máquina virtual seria APENAS capaz de se conectar com a primeira máquina virtual, não com outros computadores, dispositivos, redes ou máquinas, etc.

Então eu tenho quatro partições?

1.) boot partition (how big?)  
2.) OS state partition (how big and what is in it?)
        a.) Is virtualbox running here or in an encrypted partition?
3 & 4) Are the two virtual machines each in their own encrypted partitions?
        Or are the virtual machines bundled into one encrypted partition  
        with the virtualbox program?  

Para começar a responder a pergunta sobre o que acontece em qual partição, naveguei pelo terminal para cd / e digitei ls -al para mostrar tudo no diretório raiz do servidor da seguinte forma:

[user@domain /]$ ls -al
total 108
.
..
.autorelabel
bin -> usr/bin
boot
crd
dev
etc
home
import
lib -> usr/lib
lib64 -> usr/lib64
media
mnt
opt
proc
.readahead
root
run
sbin -> usr/sbin
srv
sys
tmp
usr
var

As pastas listadas em ls -al para o diretório / incluem tudo em todas as partições? Se não, o que mais há no disco rígido e como posso encontrá-lo? Além disso, como planejamos segregar todos os possíveis elementos de disco em partições em um esquema para a criptografia LUKS?

    
por CodeMed 28.08.2015 / 21:44

1 resposta

0

Ok, para extremamente dados seguros, você não deve usar um sistema operacional virtual. Ponto.

O host por natureza tem acesso à sua memória, é por isso. Na verdade, é um dos hospedeiros.

No entanto, eu faço isso porque você quer trabalhar com os dados em vez de apenas armazená-los. Eu sugiro um componente de middleware para fazer a criptografia / descriptografia na memória, então a escrita é feita somente criptografada. Ou seja use um banco de dados que suporte isso ou canalize-o pelo gpg. Portanto, o enc disco completo não é necessário se você se importa com o que pode ser adulterado para obter sua chave.

    
por 04.07.2016 / 01:33