Protezione dei dati su un server

2

Ho un server che ha una sicurezza fisica "loose" (un po 'facile da rubare all'intero server).

Per rispondere alla domanda, supponiamo che chiunque possa accedere fisicamente al server, quali precauzioni dovrei usare per mantenere i dati al sicuro?

Il mio pensiero iniziale consisteva nel tenere tutti i registri, i database, i contenuti utente, ecc. in un contenitore TrueCrypt crittografato. Ciò significa che se il disco rigido / server viene rubato, non saranno in grado di accedere ai dati privati. Tuttavia, cosa succede se qualcuno inserisce uno schermo e una tastiera nel server? Se sono attualmente connesso tramite SSH, questo lascia vulnerabile localmente il server? Posso fidarmi del prompt standard di "inserimento password" di Linux o che può essere facilmente aggirato?

Mi piacerebbe essere in grado di avviare e accedere al mio server da remoto senza dover inserire una password localmente (ad esempio se il sistema operativo è stato crittografato)

Grazie per il tuo aiuto

    
posta Joseph 17.05.2014 - 16:29
fonte

2 risposte

2

Chiunque abbia un accesso fisico al server può inserire un dispositivo PCI canaglia al suo interno, ad es. contenente il malware Rakshasa che infetterà il BIOS bypassando così la crittografia dell'intero disco registrando la password della chiave (implementando un server SSH contraffatto, stile di phishing). L'attaccante avrà quindi un accesso completo e remoto al sistema, rimanendo invisibile al sistema operativo perché il malware viene eseguito in modalità di gestione del sistema. Rakshasa è stato sviluppato da Jonathan Brossard e presentato a Defcon 20 e Black Hat ed è un framework tristemente potente.

Questo (catturando la passphrase di crittografia) è anche noto come attacco di Malvagità maledetto ricercato da Johanna Rutkoswka a Invisible Labs.

Johanna propone una mitigazione tramite TPM .

    
risposta data 18.05.2014 - 14:59
fonte
1

Prima identifica cosa proteggere e dove è archiviato.

Se hai accesso fisico al server, puoi usare LUKS che ha il supporto integrato nel kernel di Linux. LUKS può eseguire la crittografia AES 256 come TrueCrypt. Passphrase può essere inserito durante l'avvio per montare l'unità, se si dispone di accesso fisico. In tal caso, se il tuo disco rigido viene rubato, non potranno decrittografare i dati senza la passphrase.

Per mantenere ssh sicuro

  • Limita chi può accedere all'IP con la porta SSH tramite un firewall esterno
  • Limita l'accesso SSH da iptables (come firewall di secondo livello).
  • Limita il nome degli utenti che possono accedere tramite SSH e nessun accesso di root (può essere configurato in / etc / ssh / sshd_config)
  • Utilizza l'autenticazione per coppie di chiavi o Autenticazione a due fattori
  • Installa un anti-password-brute-forcer come fail2ban
  • Assicurarsi che il sistema sia in esecuzione con il sistema operativo di supporto per fornitore con le ultime patch.
risposta data 17.05.2014 - 20:12
fonte

Leggi altre domande sui tag