Ubuntu 17.10 Разблокировка удаленного диска
Это хорошо известная проблема, в настоящее время не имеющая решения.
В Debian (и других системах) systemd не может собрать зашифрованный массив BTRFS из-за параллельных процессов и различных тестов. Все тома массива BTRFS должны присутствовать для его монтирования (правильно), но поскольку все тома массива BTRFS имеют одинаковый UUID (по дизайну), systemd пытается смонтировать первый том, который он открывает, не дожидаясь другие (которые выставили бы тот же UUID, еще больше запутав systemd).
В настоящее время единственный способ использовать зашифрованные тома BTRFS в Debian - это не использовать systemd (пакеты sysvinit-core , systemd-shim и т. Д. ). Не существует возможного "системного пути".
С большой безопасностью приходит большая ответственность...
То, что вы пытаетесь сделать, это съесть свой пирог и сохранить его :вы хотите иметь ручной ввод с помощью ключа, но вы хотите автоматизировать его, поэтому у вас есть три возможности:
- Убедитесь, что сервер имеет удаленный KVM (Клавиатура -Видео -Мышь )возможности (доступ к удаленной консоли ):на большинстве современных серверов это встроено -в:Это все еще ручная работа, но теперь ее можно выполнять удаленно за небольшую дополнительную плату , но исключает решение VPS .
- Разверните имеющееся в продаже программное обеспечение Encryption -At -Rest, которое удаленно вводит ключ для вас. Это полностью автоматизировано, основано на правилах -и проверено специалистами по безопасности.
- Измените набор -на :разрешить небезопасную загрузку и смонтируйте
/, запустите скрипт загрузки, который подключается к удаленному серверу, предупредит удаленный ресурс о необходимости смонтировать зашифрованный раздел вручную:FLOSS, и если вы настаиваете, вы можете использовать Dropbear , но я бы предпочел ssh-клиент из выбранного вами дистрибутива, который автоматически обновляется , когда в будущем возникнут какие-либо проблемы с безопасностью...
На самом деле я понял это с помощью плагина под названием Mandos. Mandos использует открытое PGP и туннелирование ssh для безопасности, чтобы получить ключ и передать его в систему. Кроме того, я понимаю проблемы безопасности с физическим доступом, однако с полным шифрованием диска и аппаратной разблокировкой с 2 -факторами для доступа к учетной записи с правами администратора, без внешнего доступа к ssh (, он закрывается сразу после разблокировать )почти невозможно открыть коробку, даже при физическом доступе. Ключи шифрования также не хранятся на сервере, так как здесь это противоречит цели. Я провел полный аудит этой системы, даже пытался пронюхать запрос, который она отправляет, чтобы захватить ее, но ничего не удалось.
Система также имеет очень-очень строгие ограничения IP-адресов на обеих конечных точках, а также обменивается данными через VPN, защищенную устройством Meraki.Перехват трафика дает только зашифрованный мусор, взлом которого займет слишком много времени, чтобы кто-то даже потрудился.
Один из этих ящиков мы передали внешней службе безопасности, но даже они не смогли его взломать.
Сам сервер ключей также совместим с PCI -DSS.
Суть в том, что мы должны выдать систему, потому что наш код должен запускаться локально в сети шахты, чтобы он функционировал должным образом. Это поставило нас перед проблемой предоставления клиентам базы кода (, которая не может скомпилировать Python в двоичный файл ), так как он не будет работать как SaaS. И чтобы защитить нашу интеллектуальную собственность, нам нужно было найти работающую систему.