Мы рассматриваем ситуацию, когда злоумышленники (люди с благими намерениями) могут завладеть вашим сервером для детального изучения.
Основная идея
- Установите хорошее шифрование на физических томах.
- Включение необходимых сервисов через сеть.
- Самое слабое звено — человек, и хорошо, если тот, кто знает пароли, находится далеко от сервера, например в другой стране.
- Исследование жестких дисков должно показать нормальную систему, т.е.
ничего и еще один большой неформатированный кусок жесткого диска.
Выполнение
Решение основано на ЛВМ и шифрование с помощью ЛЮКС .Linux Volume Manager (LVM) — очень мощная система управления томами данных для Linux. Он позволяет создавать логические тома поверх физических разделов (или даже неразмеченных жестких дисков), которые будут видны в самой системе как обычные блочные устройства с данными (т.е.
как обычные разделы).
Основные преимущества LVM заключаются в том, что, во-первых, одну группу логических томов можно создать поверх любого количества физических разделов, во-вторых, размер логических томов можно легко менять в процессе работы.
Кроме того, LVM поддерживает механизм моментальных снимков, копирование разделов «на лету» и зеркалирование, аналогичное RAID-1. Модуль dm-crypt из набора device-mapper реализует метод crypt для сопоставления виртуального блочного устройства (/dev/mapper/luks-UID) с базовым блочным устройством (возможно, также виртуальным) или файлом (с использованием обратной связи) с пользователем.
-Прозрачное шифрование с использованием Linux 2.6 cryptoapi. Для шифрования указываются алгоритм и метод симметричного шифрования (AES), ключ и режим генерации исходного вектора.
При записи на созданное виртуальное устройство данные шифруются перед записью на базовое блочное устройство; при чтении с нового устройства ранее зашифрованные данные считываются с базового блочного устройства и расшифровываются.
Формат служебной информации такой же, как формат cryptoloop. Может работать поверх кольцевого устройства (зашифрованной файловой системы в файле).
Файловая система на виртуальном устройстве создается обычным способом.
Система устанавливается в необходимой вам конфигурации.
В моем случае не очень (даже очень не очень) мощный компьютер с Ubuntu и PostgreSQL в качестве СУБД.
Устанавливаем поддержку LVM и cryptsetup. Ниже все команды, естественно, находятся под корень - хм.
Устанавливаем шифрование на нужный нам раздел (у меня /dev/sda3 за которым следует имя bblab1s ) cryptsetup -y -s 256 -c aes-cbc-essiv:sha256 luksFormat /dev/sda3
Монтирует зашифрованный раздел cryptsetup luksOpen /dev/sda3 bblab1s
Создайте на нем физический том pvcreate /dev/mapper/bblab1s
vgcreate bblab /dev/mapper/bblab1s
Нарезаем на нем логические тома (размер указан после -Л ) lvcreate -L 32G -n swap bblab
lvcreate -L 16G -n tmp bblab
lvcreate -L 1000G -n varps bblab
lvcreate -L 16G -n varlg bblab
lvcreate -L 256G -n home bblab
Создаем необходимый нам формат разделов mkswap /dev/bblab/swap
mkfs.ext4 /dev/bblab/tmp
mkfs.ext4 /dev/bblab/varps
mkfs.ext4 /dev/bblab/varlg
mkfs.ext4 /dev/bblab/home
Я счел необходимым скрыть своп, /tmp, /var/log/, /var/lib/postgresql, /home .
В /boot/grub/grub.cfg где это линукс.
добавление опций текст чтобы все загружалось в текстовом режиме.
я тоже устанавливаю openssh-сервер войти через сш И поддержка acpi выключить с помощью кнопки питания.
Блокировка входа в .
bash_history.txt , например, сделав его доступным только для чтения или каким-либо другим способом.
После этого можно все отключить от компьютера.
У меня остался только сам компьютер, кабель от розетки и сеть.
При включении компьютера - чистая система, можно зайти к нему по сети и что-то сделать.
Но вам нужно работать с PostgreSQL или запускать его через NeatX-сервер KDE, а под ним ВиртуалБокс Windows с какой-то жутко дорогой программой.
Пишешь СМС или звонишь в скайп или гугл, тому далекому человеку, который знает пароли и сидит в стране с большой бюрократией.
Например, через терминал сш в вашем Android выполняет следующие команды на вашем сервере.
Монтирует зашифрованный раздел (здесь он должен ввести к нему пароль) cryptsetup luksOpen /dev/sda3 bblab1
Останавливает PostgreSQL и синхронизирует диски.
service postgresql stop
sync
sleep 5
Монтирует необходимые разделы и запускает PostgreSQL. swapon /dev/bblab/swap
mount /dev/bblab/tmp /tmp
chmod ugo+rwxt /tmp
mount /dev/bblab/varlg /var/log/
mount /dev/bblab/varps /var/lib/postgresql
mount /dev/bblab/home /home
service postgresql start
Все может работать.
После выключения компьютера, например нажатием кнопки, враги ничего не найдут, им даже будет очень сложно понять, что там что-то может быть.
ПС.
Конечно, можно обойтись и без постороннего человека и стать самым слабым звеном.
Для этого вы можете использовать следующий скрипт #! /bin/sh
cryptsetup luksOpen /dev/sda3 bblab1
service postgresql stop
sync
sleep 5
swapon /dev/bblab/swap
mount /dev/bblab/tmp /tmp
chmod ugo+rwxt /tmp
mount /dev/bblab/varlg /var/log/
mount /dev/bblab/varps /var/lib/postgresql
mount /dev/bblab/home /home
service postgresql start
Ссылки
Диспетчер томов Linux (LVM) Bog BOS: блокировка шифрования устройства в Linux (dm-crypt, LUKS, cryptsetup) Теги: #информационная безопасность #сервер #открытый код #информационная безопасность-
Загрузки Фильмов
19 Oct, 24 -
Microsoft Разрабатывает Онлайн-Версию Excel
19 Oct, 24 -
Крутая Gif-Анимация
19 Oct, 24 -
Опасный Разум, Безопасный Интеллект
19 Oct, 24 -
Тема Главного Меню За Полчаса
19 Oct, 24 -
Власти Хотят Регулировать Интернет, Как Сми
19 Oct, 24
