防止暴露于物理访问的远程部署服务器上的数据被盗

我正在尝试一种方法来保护暴露于物理访问的Linux服务器的安全。我的特定平台是PC Engines品牌alix2d13母板上的小型Linux服务器。较小的尺寸带来了攻击者将其从房屋中移出的额外风险。

假设对服务器具有物理访问权限：

1）ROOT-PASSWORD：您将控制台电缆连接到服务器，并提示您输入密码。如果您不知道密码，则可以以单用户模式重新启动机器并重设密码。Voilà，您具有root用户访问权限。

为了保护上述内容，请在GRUB菜单上插入一个密码，以便在重新启动服务器以进入单用户模式时必须提供GRUB密码。

2）GRUB_PASSWORD。如果关闭计算机，取出硬盘驱动器并将其安装在另一个工作站上，您将能够浏览/boot包含grub.cfg文件的目录，在其中可以找到GRUB密码。您可以更改GRUB密码或删除它。

显然，当我们谈论大型生产机器时，很可能不会有任何物理访问，除此之外，即使有人获得了对服务器的物理访问，他也不会关闭服务器。

有什么可能的解决方案来防止物理上容易窃取的服务器上的数据被盗用？

我所看到的方式，对包含的数据的一种或另一种访问方式都可以得到。

我一直遵循的规则是，一旦攻击者对您的主机进行了物理访问，他们最终就可以入侵其中-除非像kasperd所说的那样，您使用具有引导密码的强大的全磁盘加密，并且愿意主机每次引导时都可以在其中输入。

我知道的解决方案是加密磁盘并使用TPM：受信任的平台模块

通过这种方式，现在可以将硬盘驱动器解密为：

全盘加密应用程序可以使用此技术[TPM]保护用于加密计算机硬盘的密钥，并为受信任的引导路径（例如BIOS，引导扇区等）提供完整性验证。第三方全盘加密产品也支持TPM。但是，TrueCrypt决定不使用它。-维基百科

当然，我可能错了，TPM容易破解，或者我可能不知道其他解决方案。

对于笔记本电脑和小型家庭服务器，全盘加密是个好主意。

全盘加密不需要TPM。甚至TPM也无法保护您免受复杂的攻击邪恶女仆攻击。因此，为了真正保护小型家用Linux服务器（或数据中心），您需要采取适当的其他物理应对措施。

对于您的家庭用例，安装一些创新的DIY硬件可能就足够了：

1. 允许您在回来时识别出任何身体上的入侵
2. 尝试进行任何物理侵入时，都会中断计算机的电源。

对于面对一些大公司或强大的政府机构作为敌人的记者和鼓吹者来说，这仍然不够安全。这三个信件机构可能具有断电后几分钟从RAM中抢救出清晰文本所需的取证设备。

这是一个简单的解决方案：在没有单用户模式的情况下重建内核！

更恰当地说，编辑您正在使用的linux内核，以便将模式S重新映射到您的默认模式恰好是（3,4,5）。这样，任何引导进入单用户模式的尝试都会正常启动系统。您可能可以在初始化脚本中执行相同的操作。这样，在不知道密码的情况下就不会有进入系统的特殊方法。

走过去，在电子网站上询问。我敢肯定，有嵌入式SOC设计可以对所有内容进行加密，一旦将其融合，反向工程“不可能”。

就是说，我在DefCon演示中，团队确切地展示了他们如何将其分解。在很多情况下，芯片没有融合，或者芯片设计愚蠢地包含了一个未连接的调试端口。在另一些方面，他们化学去除了芯片层，并通过电子显微镜扫描读取了芯片。真正专心的黑客绝对不会让您感到安全。

如果您愿意考虑采用破坏性的预防措施，我想提供一种不同的方法。考虑将一个大容量电容器焊接到硬盘和RAM上，在篡改检测（您决定方法/传感器）上，这些电容器会释放破坏性数据。

从空的意义上说，这“阻止”了访问，以后没有人可以访问系统。因此，它逐字回答了问题，同时可能完全失去了您的意图。

电容器只是一个例子。存在其他可能性。问题是设备的天气破坏（或至少其中包含的数据）是可以接受的。

基于计时器的解决方案也是可能的-除非设备每隔几分钟/几小时便会回拨一次，否则设备将自毁。这个主题有许多不同的可能性。

一种可能的解决方案是使用全盘加密，将密钥放在USB记忆棒/存储卡上，然后将计算机放入一个金属盒中，该金属盒带有一个带打开开关的单扇门以及一些环境传感器。

要启动设备，只需将USB驱动器放入端口（在“库”的外部），然后从那里读取FDE密钥并引导系统。如果“保险库”曾经打开，打开开关将重置系统，从内存中删除密钥。

如果环境允许，您可以添加更多的传感器，例如温度，加速度，湿度等。如果检测到报告的值有突然变化，则系统会重置，因此，如果小偷只是试图拿下系统并将其放置在他的口袋里，它甚至在从所有电缆断开之前都已经被重置。