Hallo zusammen,
habe ein paar Server, die vollverschlüsselt sind.
Gibt's ne Möglichkeit, diese trotzdem remote zu booten, bzw. das Passwort über einen sicheren Kanal einzugeben?
Bisher mache ich das per Tastatur. Ist kein Drama, aber manchmal nervig.
vollverschl. Systeme remote booten
-
schwedenmann
- Beiträge: 5652
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: vollverschl. Systeme remote booten
Hallo
Schau mal ob das etwas ist, was dir dabei helfen könnte
https://wiki.recompile.se/wiki/Mandos
mfg
schwedenmann
Schau mal ob das etwas ist, was dir dabei helfen könnte
https://wiki.recompile.se/wiki/Mandos
mfg
schwedenmann
-
breakthewall
- Beiträge: 507
- Registriert: 30.12.2016 23:48:51
Re: vollverschl. Systeme remote booten
Also grundsätzlich ist das möglich, auch mit sicherer Authentifizierung. Und wahnsinnig aufwändig einzurichten ist das auch nicht.
Nur solltest dabei beachten:
Ein Server zu dem Fremde vollen physischen Zugang haben, ist nicht länger dein Server. Ganz gleich was hier verschlüsselt wird, sobald der Server läuft, sind alle Daten seitens des Server-Anbieters vollständig einsehbar.
Dem könnte man nur mit einer vollständigen Verschlüsselung des Arbeitsspeichers entgegenwirken, was derzeit nur mit den AMD EPYC Server-CPUs funktionieren würde. Doch die Technik dahinter wurde noch nicht vollständig in den Linux-Kernel integriert, noch sind diese CPUs derzeit weit verbreitet. Hinsichtlich Intel wird auch an soetwas gearbeitet, was jedoch noch dauern wird.
Nur solltest dabei beachten:
Ein Server zu dem Fremde vollen physischen Zugang haben, ist nicht länger dein Server. Ganz gleich was hier verschlüsselt wird, sobald der Server läuft, sind alle Daten seitens des Server-Anbieters vollständig einsehbar.
Dem könnte man nur mit einer vollständigen Verschlüsselung des Arbeitsspeichers entgegenwirken, was derzeit nur mit den AMD EPYC Server-CPUs funktionieren würde. Doch die Technik dahinter wurde noch nicht vollständig in den Linux-Kernel integriert, noch sind diese CPUs derzeit weit verbreitet. Hinsichtlich Intel wird auch an soetwas gearbeitet, was jedoch noch dauern wird.
Re: vollverschl. Systeme remote booten
Du kannst Dropbear dazu benutzen, direkt beim Boot ne ssh-Verbindung aufzubauen, über die Du die Passphrase eingeben kannst. Einfach mal nach "ssh dropbear crypt boot" suchen, dann sollten genug Infos rausfallen.
Re: vollverschl. Systeme remote booten
Wie voll mögen diese vollverschlüsselten Systeme verschlüsselt sein? So ganz voll geht ja nicht ...
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
Re: vollverschl. Systeme remote booten
/boot ist es dabei in der Regel nicht, "Charlie" könnte also hingehen und die initrd gegen seine "ich schreib die Passphrase mal auf den Bildschirm"-initrd tauschen - das Risiko hat man immer, sobald man die Hardware aus der Hand gibt.
-
sergej2018
Re: vollverschl. Systeme remote booten
Guten Morgen zusammen,
danke für euren Input, den Link schaue ich mir nachher an!
Die Hardware befindet sich allerdings noch vollständig in unserer Hand
Steht hier im Rechenzentrum. Es geht lediglich darum, etwas mehr Schutz zu haben. Und dank AES-NI kostet das ja auch kaum noch Performance.
PS: /boot kann man ganz gut "schützen", wenn man die Dateien mit Prüfsummen sichert. Dann bekommt man im Zweifel mit, wenn sich etwas geändert hat.
danke für euren Input, den Link schaue ich mir nachher an!
Die Hardware befindet sich allerdings noch vollständig in unserer Hand
Steht hier im Rechenzentrum. Es geht lediglich darum, etwas mehr Schutz zu haben. Und dank AES-NI kostet das ja auch kaum noch Performance.
PS: /boot kann man ganz gut "schützen", wenn man die Dateien mit Prüfsummen sichert. Dann bekommt man im Zweifel mit, wenn sich etwas geändert hat.
Re: vollverschl. Systeme remote booten
Ich rate dann mal, dass /boot doch nicht verschlüsselt ist. Dann guck dir lieber diesen Link an:
https://hamy.io/post/0005/remote-unlock ... tu-debian/
https://hamy.io/post/0005/remote-unlock ... tu-debian/
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001