Come gestire la crittografia del disco per la connessione remota?

Naviga le tue risposte
4

Ho sulla mia workstation, un'installazione di Ubuntu 14.04 con crittografia completa del disco. Ora devo viaggiare spesso per giorni e sto pianificando di scaricare questa macchina dal mio Chromebook per lavorare da remoto.

Non ho alcuna garanzia che questa macchina non sarà mai spenta (lo staff di pulizia potrebbe farlo). Al riavvio il sistema richiede la password di crittografia ogni volta durante l'avvio, il che credo non sarà possibile fare in remoto (poiché credo che le reti e specialmente sshd inizieranno solo dopo aver letto il disco / avvio crittografato). Come posso affrontare questa situazione? È possibile continuare con l'HDD crittografato? O se no, come posso rimuovere la crittografia HDD (se possibile, cosa di cui dubito)

    
posta 0xc0de 23.04.2015 - 09:33
fonte

2 risposte

2

È possibile utilizzare dropbear ssh per ssh sulla macchina e quindi sbloccare il volume LUKS. C'è un tutorial qui che può aiutarti con l'impostazione.

    
risposta data 23.04.2015 - 09:53
fonte
1

La soluzione più semplice sarebbe quella di aver installato il tuo server in modo che possa (minimamente) eseguire il boot senza un passcode, o non averlo crittografato, o usando un qualche tipo di chiave hardware, come una chiavetta USB, che ha i dati necessari affinché il sistema si avvii automaticamente. In questo modo, puoi "bloccare" il server spegnendolo e allontanandoti con la chiave USB. IIRC, TrueCrypt (e presumibilmente quindi VeraCrypt , il fork ancora attivo di TrueCrypt) supporta l'uso di file arbitrari su chiavette USB come passcode.

Questo è semplicemente il livello base. Una volta che il sistema è attivo e funzionante (e online), puoi inserire SSH e sbloccare manualmente la memoria crittografata del server.

Per arrivare a questo tipo di configurazione, devi eseguire il backup dei dati, ripartizionare i tuoi dischi e reinizializzare i tuoi filesystem, quindi ripristinare i tuoi dati in cima ai nuovi filesystem. Quindi devi creare l'area crittografata (o, se stai usando una chiave hardware, la doppia crittografia) e il link simbolico a loro dalle varie posizioni che hai già configurato per l'uso.

Se stai crittografando le home directory, tieni presente che i pubkey SSH archiviati nel file ~/.ssh/authorized_keys di ciascun utente non saranno disponibili per autenticare gli utenti che non hanno effettuato l'accesso. Per risolvere il problema, supponendo che stai usando ecryptfs-mount-home , dì ai tuoi utenti di eseguire ecryptfs-umount-private e poi installa i loro pubkeys in% co_de non crittografati % file (che potrebbe richiedere la creazione di ~/.ssh/authorzied_keys - non dimenticare di ~/.ssh o non funzionerà!).

In alternativa, puoi aggiungere qualcosa come questo al tuo file chmod 700 ~/.ssh : 

AuthorizedKeysFile .ssh/authorized_keys /var/ssh/%u/authorized_keys

Ciò richiederebbe di creare (e /etc/ssh/sshd_config e chown ) le directory chmod appropriate poiché gli utenti non saranno in grado di farlo. Ora gli utenti possono avere due% di file di/var/ssh/<user> (altrimenti l'utente può eseguire authorized_keys per collegarli).

Ricorda che se hai effettuato l'accesso, i tuoi dati sono vulnerabili. Se un utente malintenzionato spegne il sistema e lo carica con un disco di avvio, può ottenere l'accesso come root. Quindi accedi da remoto e sblocchi le cose, quindi l'utente malintenzionato ha quindi accesso a queste cose. Crittografare la tua home directory è una grande idea, ma per cose come le dichiarazioni dei redditi e altri documenti sensibili, è meglio usare uno spazio dedicato speciale che viene montato solo finché il suo contenuto è necessario. Questi non si escludono a vicenda; Suggerisco di fare entrambe le cose.

    
risposta data 02.06.2015 - 03:56
fonte

Leggi altre domande sui tag

Qual è la differenza tra "extendedKeyUsage" e un criterio applicativo? Come può essere utilizzato un certificato HTTPS "alternativo" o duplicato in un attacco?