wake-on-lan (wol) um servidor com criptografia de disco completo

Navegue suas respostas
1

Eu tenho um servidor instalado com o zentyal 3.0.2 (baseado no ubuntu 12.04.2) com criptografia de disco completo.

Embora eu envie com êxito o pacote WOL e ligue o servidor, o processo de inicialização não é concluído, pois o disco do servidor está criptografado e preciso inserir a frase secreta válida antes de continuar.

Existe algum aplicativo que possa ser usado para enviar a frase secreta?

O wol é realmente útil quando precisamos gerenciar o servidor remotamente.

    
por Daniel 23.07.2013 / 10:13

2 respostas

6

Para descriptografar o volume de inicialização, você terá que usar algum tipo de gerenciamento de desativação ou o Intelligent Platform Management Interface (IPMI). Isso lhe dará um console remoto no servidor para que você possa digitar a frase secreta. Exemplos comuns disso são o OIT em servidores HP ou o DRAC em servidores Dell.

Se você está enviando um pacote WOL, eu realmente duvido que exista muita sobrecarga na abertura de um console de gerenciamento para digitar a frase secreta. Com isso dito, esta é uma oportunidade para revisitar por que você está fazendo tudo isso:

  • Por que você está desligando o servidor? Os servidores são projetados para permanecerem ligados o tempo todo, se você tiver uma restrição de energia ou similar, deve explorar algumas opções de economia de energia que permitem deixar o servidor em execução.
  • Por que o volume de inicialização é criptografado? A criptografia em disco só ajuda muito se você acredita que o servidor inteiro será fisicamente roubado e alguém tentará roubar os dados. Seus dados valem a pena roubar? O que acontece se alguém rouba? Você não deveria armazenar seu servidor em um local protegido fisicamente sob lock and key?
  • Mesmo que seu disco esteja criptografado, ele deve permanecer descriptografado enquanto o sistema é executado. Isso significa que, se você for hackeado, sua criptografia no disco será inútil porque o invasor simplesmente roubou seus dados não criptografados do sistema em execução.

Por favor, pense em por que você está resolvendo este problema e qual o propósito comercial que ele serve.

    
por 23.07.2013 / 10:22
1

Como você precisa fornecer a frase secreta antes que a inicialização do sistema seja concluída e a rede seja iniciada, você precisará de outro servidor com a capacidade de controlar sua senha inicial.

Recursos de gerenciamento de Lights-out / BMCs fornecem exatamente isso, são construídos nas máquinas de servidor mais modernas / decentes e só precisam de configuração (normalmente você pode alterar as configurações básicas como endereço IP, porta de rede e redirecionamento de console através da configuração do BIOS).

Mesmo que a licença básica muitas vezes não permita acesso gráfico completo ao console (HP iLO, Dell DRAC), você pode configurar um redirecionamento de porta serial - ou seja, o BMC fornecerá um soquete de rede redirecionando entradas / saídas para / do controlador de porta serial. Configurar o carregador de inicialização e o kernel do Linux para usar essa porta serial como um console forneceria a capacidade de ler as saídas do console e fornecer entradas do console através do soquete de rede configurado pelo BMC.

Se você não tiver um BMC com seu sistema, ainda terá várias opções:

  • um cartão suplementar que oferece recursos do tipo BMC (cartão de gerenciamento remoto / cartão de acesso remoto)
  • um switch KVM-over-IP ou um extensor de IP KVM que é uma caixa externa e se conecta às portas VGA / teclado / USB do seu servidor, como este
  • um servidor serial ou um dispositivo que suporte o redirecionamento de porta serial de acordo com RFC2217 - por exemplo, um roteador Mikrotik em conjunto com a configuração do console serial descrita acima.
por 23.07.2013 / 11:30

Tags

Introdução ao KVM proveniente do VMware Falta de endereço IP / sub-redes