いくつかの重要なコードが存在するサーバーをセットアップしています。私は、HDが盗まれた場合に備えて、コードが到達不能であることを確認したい。まあ、私はあなたが決して確信することはできないが、合理的に安全であることを知っている どの方法を使用できますか? 人間の介入なしに起動時に暗号化されたファイルシステムをマウントする方法はありますか?サーバー上のデータを保護
ありがとうございました。
いくつかの重要なコードが存在するサーバーをセットアップしています。私は、HDが盗まれた場合に備えて、コードが到達不能であることを確認したい。まあ、私はあなたが決して確信することはできないが、合理的に安全であることを知っている どの方法を使用できますか? 人間の介入なしに起動時に暗号化されたファイルシステムをマウントする方法はありますか?サーバー上のデータを保護
ありがとうございました。
暗号化されたファイルシステムソリューションがこれをサポートしているかどうかはわかりませんが、その解決方法の1つは、サーバーに別のサーバーに連絡してそのキーを入手させることです。いくつかのサーバー間でキーを分割することも想像できます。そのため、サーバーはm個のサーバーのうちのn個のサーバーに接続してキーを取得する必要があります。
盗まれているサーバーのうち(n-1)に対して安全なサーバーを配置する場合は、
しかし、サーバーがネットワークに接続されている間に攻撃を実行すると、攻撃者は暗号化キーにアクセスできますが、この実装によって簡単な盗難から安全に保護されます。
Full Disk Encryptionとします。完全なパーティション/ファイルシステムは暗号化されており、マウントされるとOS(またはサードパーティのソフトウェア)によって暗号化されます。
多くの実装があり、少なくともMS Windows & LinuxはOSの一部としてそれを持っています。 詳細については、Wikipediaの記事を参照してください。
人間の介入なしにマウントできることは問題になる可能性があります。あなたの人間の介入なしにはHDを読むことができないということがすべてのポイントの後にあります:-)。いくつかのハードウェアトークンでこれを行うことができるかもしれませんが、それも盗まれる可能性があります。したがって、その要件は実行できない可能性があります。
人間の介入なしに暗号化されたファイルシステムをマウントすると、最終的にセキュリティが弱くなります。泥棒はあなたのサーバーを盗むだけです。これは、dm_cryptを使用するLinuxベースのシステムでは完全に実行可能です。それを行う方法を示す多くのオンラインチュートリアルがあります。
これがファイルサーバーの場合は、FreeNASの使用を検討することをお勧めします。これはBSDベースのNASオペレーティングシステムであり、とりわけディスクを暗号化する機能を備えています。ディスクをマウントするには、Webインターフェイスからパスワードを入力する必要があります。
ハードウェアトークンを使用すると人間とのやりとりはできませんが、サーバーと一緒にトークンを盗んでしまわないようにする必要があります。
内蔵のGPSと10分の予備バッテリなどで安全を達成することができます(電源を10分以上消失したり、サーバを移動した場合はキーを忘れてしまいます)。あなたは何とかそれを働かせることができますが、それは非常に高価になります。
あなたはpropablyこのようにそれほど関与ソリューションたい:
まだ人間の介入が必要ですが、あなたはそれをやりながら家にいることができます。
オープンソースTrueCryptは、ファイル内に仮想ディスクを作成し、実際のドライブのようにマウントするか、ドライブ全体を暗号化することができます。暗号化は透過的で高速です。私はそれを使用しました。リアルタイムで動作します。物事が楽になるかもしれない。
ご協力いただきありがとうございます。
私は、いくつかの分散キーファイル(パスワードなし)を使用するtruecryptコンテナを試してみます。 スクリプトはキーファイルを取得してからボリュームをマウントし、キーファイルを削除します。
私たちはほんの少ししかないので、書き込み/読み取りの直前にクライアント側のデータをプログラマチックに暗号化/復号化することもできます。しかし、これは何とか面倒なようです。
次に、ターミナルサーバーにキーファイルを作成するとどうなりますか? 非常に多くの質問!
ありがとうございました。
今...私はちょうど約cold boot attacksを思い出しました。私たちは本当に銃が必要ですか?私達はそれは運命ですか?
キーファイルをドライブに保存しないでください。システムが脆弱になります。あなたの懸念事項であるように、盗難された機器から保護するために、少なくともそれ以上のことをするtmpfs、ramまたはその他の揮発性ストレージにそれらを保管してください。 – piotr
ありがとうpiotr。その考え方は、キーファイルが遠隔に存在し、暗号化されたボリュームをマウントするのに必要な短い時間だけサーバー上に残るということです。 –
しかし、私は、プレゼンスセキュリティ侵害を防ぐ方法について、シングルユーザーモードなどの使い方を学ぶ必要があります。 –