O que devo criptografar no Debian durante a instalação?

Navegue suas respostas
1

Tenho visto vários guias e recomendações na Web sobre a melhor forma de fazer isso, mas nada que explique claramente a melhor maneira e por quê. Então eu entendo que há uma necessidade de parte do Debian durante a instalação ser não criptografada em sua própria partição para permitir a inicialização. A maioria das informações que tenho visto é chamar isso de / boot e definir o sinalizador de inicialização. Em seguida, acredito que a melhor abordagem é criar outra partição de todo o resto do espaço em disco, criptografar isso, em seguida, criar um LVM e, em seguida, dentro do LVM criar minhas várias partições, nomeá-las, selecionar tamanho e arquivo tipo de sistema. Posso incluir / trocar na parte LVM criptografada? Esta abordagem é boa? Em caso afirmativo, quais são as partições que eu deveria usar (isso vai ser uma instalação mínima do servidor, com vista a instalar como e quando o que eu preciso para um servidor de desenvolvimento)? Finalmente, como o instalador sabe o que colocar em cada partição que eu defino?

Eu aprecio que haja mais de uma pergunta, mas qualquer ajuda e sugestões serão bem-vindas. Se mais esclarecimentos forem necessários, por favor mencione nos comentários.

EDIT: 16/3/2010

Após a resposta de Richard Holloways, achei relevante adicionar essa informação:

As razões pelas quais quero fazer isso são explorar a maximização da segurança em qualquer instalação e configuração do servidor, devido ao interesse na área de Segurança de Computadores e Forense. Também estou tentando executar a tarefa como se estivesse sendo executada em uma situação corporativa.

Em uma questão técnica, uma vez configurado e configurado com o mínimo de pacotes e ssh, este servidor não será fisicamente fácil de acessar, então eu só entrarei via ssh. (Sim, eu sei por que criptografar algo que ninguém jamais conseguirá colocar em suas mãos? Porque eu posso e eu quero é a resposta simples, mas veja acima também).

    
por ianfuture 15.03.2010 / 13:51

2 respostas

3

Por que criptografar tudo isso? Eu estou jogando o advogado do diabo aqui, mas por uma razão.

Existem motivos válidos para criptografar unidades removíveis, laptops e outros dispositivos portáteis, caso você os perca.

Suponho que você poderia perder um servidor se alguém o roubasse ou obtivesse acesso local a ele.

Para laptops e outras máquinas pessoais, você pode digitar uma frase secreta para permitir que o servidor não criptografe os dispositivos na inicialização ou conforme necessário.

Você é capaz de fazer isso no servidor? Se o servidor não exigir essa intervenção e puder descriptografar os dispositivos na inicialização, o servidor não estará mais seguro para ser criptografado.

A resposta é que depende das suas circunstâncias e do que você está tentando alcançar. Não há nenhuma regra que diga que você deve criptografar tudo e se você não sabe porque está fazendo isso, eu suspeito que você não precisa.

Com base na sua edição:

Eu particionaria o disco assim:

Primeira partição 100MB montada em / boot como ext3

Resto de disco formatado como LVM criptografado.

Eu então participo a partição LVM assim:

Crie um grupo de volumes vg0

Crie este volume lógico:

/ dev / vg0 / root montado em / root como ext3 de 3GB

/ dev / vg0 / swap usado como espaço swpa, duas vezes o tamanho da RAM

/ dev / vg0 / var montado em / var como ext3 de 7 GB

/ dev / vg0 / home montado em / home como ext3 usando o resto do espaço livre.

Então tudo é criptografado além de / boot.

    
por 15.03.2010 / 17:41
1

Depende da distribuição. Em geral, você deve criptografar tudo (leia como: swap deve ser um volume no LVM criptografado). Coisas que não são criptografadas você deve manter em um CD-ROM que fica apenas com você, ou você se certificar de que ninguém o substitui. Coloque a senha no BIOS e inicialize apenas a partir do CD-ROM.

    
por 15.03.2010 / 14:04

Tags

Bloqueio de um intervalo de IP sem usar .htaccess Reparar o .NET Framework no Windows 2008 R2