2
いくつかの重要なコードが存在するサーバーをセットアップしています。私は、HDが盗まれた場合に備えて、コードが到達不能であることを確認したい。まあ、私はあなたが決して確信することはできないが、合理的に安全であることを知っている どの方法を使用できますか? 人間の介入なしに起動時に暗号化されたファイルシステムをマウントする方法はありますか?サーバー上のデータを保護
ありがとうございました。
A
答えて
2
暗号化されたファイルシステムソリューションがこれをサポートしているかどうかはわかりませんが、その解決方法の1つは、サーバーに別のサーバーに連絡してそのキーを入手させることです。いくつかのサーバー間でキーを分割することも想像できます。そのため、サーバーはm個のサーバーのうちのn個のサーバーに接続してキーを取得する必要があります。
盗まれているサーバーのうち(n-1)に対して安全なサーバーを配置する場合は、
しかし、サーバーがネットワークに接続されている間に攻撃を実行すると、攻撃者は暗号化キーにアクセスできますが、この実装によって簡単な盗難から安全に保護されます。
1
Full Disk Encryptionとします。完全なパーティション/ファイルシステムは暗号化されており、マウントされるとOS(またはサードパーティのソフトウェア)によって暗号化されます。
多くの実装があり、少なくともMS Windows & LinuxはOSの一部としてそれを持っています。 詳細については、Wikipediaの記事を参照してください。
人間の介入なしにマウントできることは問題になる可能性があります。あなたの人間の介入なしにはHDを読むことができないということがすべてのポイントの後にあります:-)。いくつかのハードウェアトークンでこれを行うことができるかもしれませんが、それも盗まれる可能性があります。したがって、その要件は実行できない可能性があります。
2
人間の介入なしに暗号化されたファイルシステムをマウントすると、最終的にセキュリティが弱くなります。泥棒はあなたのサーバーを盗むだけです。これは、dm_cryptを使用するLinuxベースのシステムでは完全に実行可能です。それを行う方法を示す多くのオンラインチュートリアルがあります。
これがファイルサーバーの場合は、FreeNASの使用を検討することをお勧めします。これはBSDベースのNASオペレーティングシステムであり、とりわけディスクを暗号化する機能を備えています。ディスクをマウントするには、Webインターフェイスからパスワードを入力する必要があります。
1
ハードウェアトークンを使用すると人間とのやりとりはできませんが、サーバーと一緒にトークンを盗んでしまわないようにする必要があります。
内蔵のGPSと10分の予備バッテリなどで安全を達成することができます(電源を10分以上消失したり、サーバを移動した場合はキーを忘れてしまいます)。あなたは何とかそれを働かせることができますが、それは非常に高価になります。
あなたはpropablyこのようにそれほど関与ソリューションたい:
- を起動時にランダム化された鍵で暗号化スワップ(!重要)/ tmpに設定し
- を設定し、通常のパーティションからブート
- とRAM暗号化されたパーティション上または同様の場所(重要!)
- マウントSSH経由でログインして暗号化されたデータパーティション
まだ人間の介入が必要ですが、あなたはそれをやりながら家にいることができます。
2
オープンソースTrueCryptは、ファイル内に仮想ディスクを作成し、実際のドライブのようにマウントするか、ドライブ全体を暗号化することができます。暗号化は透過的で高速です。私はそれを使用しました。リアルタイムで動作します。物事が楽になるかもしれない。
1
ご協力いただきありがとうございます。
私は、いくつかの分散キーファイル(パスワードなし)を使用するtruecryptコンテナを試してみます。 スクリプトはキーファイルを取得してからボリュームをマウントし、キーファイルを削除します。
私たちはほんの少ししかないので、書き込み/読み取りの直前にクライアント側のデータをプログラマチックに暗号化/復号化することもできます。しかし、これは何とか面倒なようです。
次に、ターミナルサーバーにキーファイルを作成するとどうなりますか? 非常に多くの質問!
ありがとうございました。
0
今...私はちょうど約cold boot attacksを思い出しました。私たちは本当に銃が必要ですか?私達はそれは運命ですか?
関連する問題
- 1. クライアント/サーバーのデータを保護する。 (Android)
- 2. Windows Mobile上のデータを保護
- 3. サーバーのFileUploadウイルス保護
- 4. 専用サーバーの保護
- 5. Webサーバー上のPHP JSON出力結果を保護
- 6. パスワードはサーバー上のディレクトリを保護します
- 7. Windowsサーバー上のPythonスクリプトを保護する
- 8. マルチプラットフォームのデータ保護
- 9. アンドロイドデバイスとサーバーの間で送信されるデータの保護
- 10. NSURLCacheとデータ保護
- 11. JavaScriptでデータを保護
- 12. サーバーへのJSONリクエストの保護/認証
- 13. Javascriptを保護する(サーバー側?)
- 14. ウェブサーバ上のtortoiseSVNリポジトリを保護
- 15. プライベートデバイス上のアプリケーションを保護するMDM
- 16. PHPを使用してWebサーバー上のファイルを保護/解放する
- 17. インターネット上の従来のAPIの保護
- 18. 保護されていないMongoDBサーバー?
- 19. Firebaseのデータを保護する
- 20. RoRの機密データ(クレジットカード)を保護
- 21. iOSのアプリケーション固有のデータ保護
- 22. データIonicV1サービスを保護する方法
- 23. クライアント側でデータを保護する
- 24. PHP $ _SESSIONデータを保護しますか?
- 25. Oracle外部表データ・ファイルの保護
- 26. 保護されたデータへのアクセス - >
- 27. ASP.NETコアOpenIdConnectServerデータ保護キーの場所
- 28. パスワードの保護フォームの保護
- 29. Word文書の保護/保護解除
- 30. (データ保護)データベースの一部のデータをマスク/置換したい
キーファイルをドライブに保存しないでください。システムが脆弱になります。あなたの懸念事項であるように、盗難された機器から保護するために、少なくともそれ以上のことをするtmpfs、ramまたはその他の揮発性ストレージにそれらを保管してください。 – piotr
ありがとうpiotr。その考え方は、キーファイルが遠隔に存在し、暗号化されたボリュームをマウントするのに必要な短い時間だけサーバー上に残るということです。 –
しかし、私は、プレゼンスセキュリティ侵害を防ぐ方法について、シングルユーザーモードなどの使い方を学ぶ必要があります。 –