Полное шифрование диска с аутентификацией пароля меньше в Linux
Разделитель (http://software.jessies.org/terminator/) эмулятор терминала позволяет не переносить длинные линии, и имеет горизонтальную прокрутку (но записан в Java).
Можно установить систему для требования ключа вместо пароля, и изменить некоторые сценарии для поиска этого включают карту с интерфейсом USB. Я нашел подробное объяснение этого процесса на Debian Lenny. Существуют некоторые примечания в конце, которые описывают необходимые изменения для более новых версий Debian.
-
1Походит на то, в чем я нуждаюсь. Я сначала должен видеть, сколько усилия это должно сохранить вещами, работающими между обновлениями, прежде чем я приму ответ. – Alex B 21.08.2010, 14:34
-
2OK, хотя нет "стандартного" решения, это, кажется, работало. – Alex B 22.08.2010, 14:41
Но затем какой смысл того, чтобы иметь полное шифрование диска, если Вы просто разбрасываете наложение ключей в простом тексте?
Чтобы это работал, Вам было бы нужно что-то как то, чем Платформа Доверительных вычислений, как предполагалось, была перед Microsoft, и Big Media угнала ее в их собственных злых подчиняющих пользователя целях.
Идея, имеют микросхему, содержащую ключи в материнской плате, и имеющий его дают ключи только, когда проверяется, что выполнение программного обеспечения было правильно подписано доверяемыми полномочиями (Вы). Таким образом, Вы не оставляете ключи в простом виде, и Вы не должны загружать сервер в интерактивном режиме.
Жаль, что я никогда не видел Доверительные вычисления, помещенные ни в какое хорошее использование, которое могло на самом деле быть полезно для конечного пользователя.
-
1Ключ больше не кладет вокруг в простом тексте, чем Ваше ключевое наложение SSH вокруг в простом тексте в
~/.ssh. Я просто хочу смочь загрузить бездисплейный сервер с полным шифрованием диска и вынуть ключ. Я понимаю, что взломщик может изменить незашифрованный раздел начальной загрузки и украсть ключ (как с основанной на программном обеспечении регулярной версией пароля так или иначе), но я просто защищаю от случайного воровства. – Alex B 28.03.2011, 06:33 -
2На самом деле TPM возвратился далеко от DRM и правительству и использованию предприятий в последнее время. Существует много Ose, которые могут использовать его для хранения секретных ключей, я не знаю ни о каком, который предлагает защиту целостности (т.е. не разрешение взломщику вставить клавиатурный перехватчик в
/boot). – Gilles 'SO- stop being evil' 28.03.2011, 10:21 -
3@AlexB: Ваш сервер имеет TPM? Если так, можно, вероятно, сделать то, что Вы хотите с Доверяемой Личинкой. – Gilles 'SO- stop being evil' 28.03.2011, 10:22
-
4Обратите внимание, что существует преимущество отъезда ключей в простом тексте, который был бы, что Вы могли полностью вытереть уязвимые данные на диске, не обнуляя целый диск. Да, Вы могли обнулить суперблок или таблицу разделов, но как все мы знаем, данные являются все еще восстанавливаемыми от тех операций. – strugee 28.08.2013, 23:57
-
5@strugee: при использовании LUKS обнуление заголовка LUKS делает весь объем неисправимым. Если Ваша плоскость использования dm-склеп без заголовка, то да, это все еще восстанавливаемо позже с паролем. – Jay Sullivan 31.01.2015, 22:22
Mandos (который я и другие записали) решает эту самую проблему:
Mandos является системой для разрешения серверов с зашифрованными корневыми файловыми системами перезагрузить необслуживаемый и/или удаленно. См. вводную страницу руководства для получения дополнительной информации, включая список FAQ.
Короче говоря, сервер начальной загрузки получает пароль по сети безопасным способом. Посмотрите README для деталей.
-
1Даже если это бесплатное программное обеспечение, указывая, что это - Ваш продукт, ценилось бы если не на самом деле требуемый. Более читаемый README/FAQ связывается и короткое объяснение того, как работы Mandos также ценились бы. Спасибо Gilles – Gilles 'SO- stop being evil' 29.04.2011, 00:11
-
2