Criptografar o sistema baseado no Debian

1

Eu tenho uma espécie de parque de framboesas, todas conectadas via VPN a um único servidor. Eu gostaria de criptografar cada grosa ', a fim de evitar intrusões, se alguém for roubado / ladrão.

Cada raspador já tem um sistema instalado (Mint, baseado no Debian).

Qual seria a melhor ferramenta de criptografia para usar?

EDITAR [mais infos]: O grosa é conectado pela VPN ao servidor. Cada grosa armazena alguns dados, passou pela VPN do servidor. Quando esses dados estiverem no disco de raspagem, haverá criptografia. Uma vez que o usuário conecta o rasp - wifi -, ele / ela pode baixar a mídia descriptografada. Mas essas mídias são ilegíveis se você roubar e ler o HDD. Ah, e o wifi é livre de senhas ... sim, eu sei que é estranho

[EDIT 2] Little schema @ link Obrigado

    
por ArchiT3K 16.06.2015 / 09:30

1 resposta

1

Na sua aplicação, você quer proteger pelo menos:

  • Os arquivos de mídia reais obtidos do servidor
  • As chaves VPN que permitem que o Raspberry se conecte à VPN (caso contrário, um intruso só precisa extrair essa chave, conectar-se à VPN e obter os arquivos)

Você pode criptografar apenas essas coisas ou pode criptografar todo o sistema de arquivos raiz. Talvez você também faça o último enquanto estiver nisso.

Você pode usar luks para criptografar o sistema de arquivos raiz do Raspberry. Você pode encontrar instruções para configurar um sistema Debian (e presumivelmente o Mint) com raiz criptografada de muitas fontes. Basicamente, você pode fazê-lo a partir do instalador antes que o sistema seja instalado. Converter um sistema após o fato é muito mais problemático porque você precisa:

  1. inicializar um sistema alternativo
  2. monte o sistema de arquivos raiz de destino e copie seu conteúdo em outro lugar (implica em armazenamento extra)
  3. reformate o sistema de arquivos raiz de destino com luks
  4. copie tudo de volta
  5. Adicione a nova partição criptografada a /etc/crypttab , ajuste /etc/fstab
  6. Com chroot ou similar, regenere o initramfs do alvo para que ele tenha a capacidade de descriptografar a raiz na inicialização.

Um sistema de arquivos raiz separado e um sistema de arquivos /boot é uma obrigação, portanto, você deve começar com um sistema que já o tenha, se você escolher a opção de conversão. A conversão de um sistema existente em raiz criptografada é um procedimento especializado. Eu encontrei rapidamente um tutorial mas eu não li então eu não posso garantir isso.

Se o Raspberry precisa inicializar sozinho, então você se depara com o problema de que tudo o que faz é inseguro: a unidade deve ser capaz de desbloquear sua própria descriptografia, o que significa que as chaves estarão acessíveis a um ladrão. Ainda assim, a atenuação que você propõe em seu comentário, que é separar fisicamente a chave em diferentes mídias, não é um mau compromisso se você tiver que seguir esse caminho.

Esta outra questão abrange como fazer com que o sistema acesse sua própria chave de descriptografia no momento da inicialização de maneira automatizada. Em vez de um keyscript que apenas ecoa a fase como proposto nessa solução, você criaria um script curto que:

  1. monta a mídia fisicamente separada
  2. carrega e gera a frase secreta de um arquivo ali
  3. desmonta a mídia separada

Esse script seria executado dentro do initramfs. Não testado: esse script pode ser algo assim:

mkdir -p /mnt/key
mount /dev/disk/by-id/sd-card-whatever-the-device-name-is-part1 /mnt/key
cat /mnt/key/root-filesystem-key
umount /mnt/key

... e adicione uma opção keyscript em /etc/crypttab que nomeia esse script.

    
por 16.06.2015 / 14:38