远程开启加密系统


11

我的系统中充满了非常敏感的数据,因此我需要尽可能地对其进行加密。

我有一个加密的Debian安装程序,每次引导时都要求输入长密码。有没有简单的设置方法,以便我可以远程输入该密码?

如果其他发行版可以做到,那么我不介意安装其他东西代替Debian。


2
您担心哪种攻击媒介?硬件密钥存储区(私钥不能通过软件提取,但是拥有该硬件的任何人都可以解密您的内容)是否合适?(顺便说一句,请注意,当您使用全盘加密系统时,许多全盘加密系统都会将主密钥解锁,然后将其存储在RAM中-这意味着具有足够特权的任何人都可以从解锁的系统中复制该主密钥,即使他们没有永远不会得到您的密码;在这里,在硬件中进行实际解密会更安全)。
查尔斯·达菲

@CharlesDuffy主要担心的是服务器(或其磁盘)实际上是被盗的,因此硬件密钥就不成问题了,因为它也可以被盗。我专门设置了40多个符号文件系统密码和20多个符号根密码(整个系统中唯一的用户),因此在大多数情况下我应该很安全,对吗?
user2363676

1
已卸下并被盗,还是担心在硬件仍通电时攻击者获得物理访问权限?如果有人可以将新设备热插拔到PCI总线上,那么他们可以制作物理内存的副本,这样他们就可以从正在运行的未锁定系统中窃取加密密钥。(他们无法窃取用于加密密钥的密码,但是如果您拥有密钥本身,那就没有关系了)。
查尔斯·达菲

1
另一个攻击媒介是有人在解密/解锁过程中修改启动顺序以复制密码,重新启动计算机,然后等待您登录并对其进行解锁(因此,让他们添加的代码存储副本)窃取硬件之前)。有时想出全面的威胁模型(并加以缓解)会很棘手。(我看到madscientist159已经指出了这种可能性)。
查尔斯·达菲

Answers:


16

您可以通过安装dropbear-initramfs并按照说明配置SSH密钥来启用此功能。这将从initramfs启动SSH服务器,使您可以远程连接并输入加密密码。


3
请注意,任何具有物理访问权限的人都可以用自己的恶意版本替换您的initramfs,提取您的SSH私钥以进行MITM攻击,以及进行各种其他形式的篡改。至少,如果没有更高级的安全技术,则您应该查看TPM,是否有可能被恶意行为者以物理方式访问该盒子。
madscientist159 '18

1

如果您在Dell或HP服务器上安装了Debian-Dell具有iDrac,HP具有ILO,则这两个都具有基于Web的虚拟控制台,可让您在引导时与计算机进行交互。


我的惠普太老了,遗憾的是没有国际劳工组织。
user2363676
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.