Ubuntu 17.10 desbloqueio de disco remoto

Navegue suas respostas
0

Eu tenho uma pergunta sobre como configurar o desbloqueio remoto com a criptografia de disco integrada do Ubuntu.

Eu sei que existem maneiras de fazer isso com dropbear, mas não tenho certeza.

Então, aqui está o que eu estou querendo fazer.

Nossa empresa administra uma série de grandes minas de criptografia nos EUA e no Canadá. Temos um software de mineração especializado que é instalado em um servidor que é colocado dentro da instalação.

Agora, como o software é escrito em python, precisamos de uma maneira de permitir que o cliente possa monitorar o meu, mas não obter nosso código.

Isso foi feito dando ao cliente uma caixa preta com criptografia completa, somos os únicos que conhecem as chaves. Mas aqui está o problema.

Se o sistema for reinicializado, alguém terá que inserir manualmente a chave. Não podemos ter uma tecnologia sempre que o sistema é reinicializado, pois somente o gerenciamento tem acesso às chaves de criptografia de disco nos servidores.

O que precisamos fazer é quando o sistema for reinicializado, sshs no servidor de chaves (restrições de IP serão definidas para aceitar apenas conexões de entrada de determinados endereços IP) recupera o arquivo de chave que irá desbloquear a unidade, desbloquear a unidade e excluir o arquivo de chave do servidor de instalação.

Eu sei que você pode fazer isso com dropbear, mas cada exemplo que eu vi você precisa emitir um comando ssh para o cliente criptografado do servidor de chaves. Queremos o contrário, então o cliente solicita o arquivo de chave do servidor de chaves.

Se alguém souber um bom tutorial sobre como fazer isso, ou se alguém puder me apontar na direção certa, isso ajudaria bastante a mim e ao time.

Obrigado!

    
por xxen0nxx 30.04.2018 / 22:54

2 respostas

1

Com grande segurança vem uma grande responsabilidade ...

O que você está tentando fazer é comer seu bolo e mantê-lo também: você quer ter uma entrada de chave manual, mas quer automatizá-la, então você tem três possibilidades:

  • Assegure-se de que o servidor tenha recursos remotos de KVM (Teclado-Vídeo-Mouse) (também conhecido como acesso ao Console Remoto): a maioria dos servidores modernos tem isso: Isso ainda é trabalho manual, mas agora pode ser feito remotamente um pequeno custo adicional mas exclui uma solução VPS .
  • Implante o software Encryption-At-Rest disponível comercialmente que faz a entrada de chave para você remotamente. Isso é totalmente automatizado, baseado em regras e verificado por profissionais de segurança.
  • Altere sua configuração: permita inicialização não segura e monte / , dispare um script de inicialização que se conecta a um servidor remoto, alerta um recurso remoto para montar manualmente a partição criptografada: FLOSS e, se insistir, você pode usar o Dropbear mas eu ficaria com o cliente ssh da sua distro de escolha que é automaticamente atualizado quando qualquer problema de segurança surgiria no futuro ...
por 01.05.2018 / 01:01
0

Eu realmente descobri isso com um plugin chamado Mandos. O Mandos usa o tunelamento aberto de PGP e ssh para a segurança, obtendo a chave e alimentando-a no sistema. Além disso, eu entendo sobre problemas de segurança com acesso físico, no entanto com criptografia de disco completo mais desbloqueio de hardware de dois fatores para acessar a conta habilitada pelo administrador, nenhum ssh externo (é fechado logo após o desbloqueio) é quase impossível estourar a caixa, mesmo com acesso físico. As chaves de criptografia também não são armazenadas no servidor, pois isso frustraria o objetivo aqui. Eu fiz uma auditoria completa deste sistema, mesmo tentando sniff o pedido que faz para capturá-lo, mas nada estava conseguindo passar por isso.

O sistema também tem restrições muito restritas de IP em ambos os endpoints, e também se comunica através de uma VPN, protegida por um dispositivo Meraki. Sniffing tráfego gera apenas lixo criptografado que levaria tempo para rachar para qualquer um incomodar.

Nós demos uma dessas caixas para uma equipe de segurança externa e nem eles conseguiram decifrá-la.

O servidor de chaves também é compatível com PCI-DSS.

O ponto principal é que teremos que dar um sistema para fora se nosso código precisar ser executado localmente na rede da mina para que ele funcione corretamente. Isso nos apresentou o problema de ter que dar aos clientes a base de código (não é possível compilar python para um arquivo binário), pois não funcionaria como um SaaS. E para proteger nosso IP, precisávamos encontrar um sistema que funcionasse.

    
por 03.05.2018 / 20:47

Tags

Como executar o tipo binário Mach-O no armv7l? Linux mostrando o tempo de modificação do arquivo incorreto para o vídeo da câmera