Centos

加密遠端linux伺服器

  • September 24, 2011

我的一位客戶要求對他們的 Web 伺服器進行加密,以防止對 mysql 數據庫和 /var/log 中包含的高度敏感數據進行離線攻擊。我對流行主機上的專用伺服器具有完全的 root 訪問權限。我正在考慮 3 個選項 -

  1. FDE - 這將是理想的,但只有遠端訪問(沒有控制台)我想這將是非常複雜的。
  2. Xen - 安裝 XEN 並在 XEN 虛擬機中移動他們的伺服器並加密虛擬機 -這似乎更容易遠端完成。
  3. 分區 - 加密敏感數據所在的非靜態分區,例如 /var /home 等。

滿足要求的最簡單方法是什麼?


值得與主機核實,看看他們是否可以連接 IP KVM 或安裝遠端訪問卡(IPMI、HP iLO、iDRAC 或 RAS,視情況而定)以提供加密的遠端控制台。

對於任何 FDE 解決方案,您都必須擁有未加密的系統引導程序。至少,這將由 MBR、引導載入程序、核心和 initrd 組成。

可以通過使用Mandos之類的工具或使用整個作業系統安裝來網路啟用 FDE 引導系統,然後通過在 cryptsetup 和 mount 後遠端執行利用 pivot_root、chroot(或 kexec)功能的自定義腳本切換到真實作業系統。

使用 Xen 並擁有一個帶有加密儲存的 VM 類似於使用整個作業系統進行引導,但需要更少的麻煩和更容易的維護。這種方法的唯一缺點是虛擬化成本。

塊設備方法(LV、分區或環回)當然很容易上手,尤其是當您嘗試在生產系統上進行更改時。

現在建議部分:如果您可以獲得遠端控制台訪問(完整的 KVM,而不是串列)並且您正在建構一台新機器,那麼請使用 FDE。所有目前發行版都在安裝程序中支持它,它將是最少維護的選項。

否則:

  • 甚至不要考慮使用 FDE。遠端訪問引導系統太脆弱了,當它崩潰時,修復將是一場噩夢。除非您真的真的很清楚自己在做什麼,否則不要嘗試即時轉換實時系統。
  • 如果您正在為此安全升級建構一台新機器並且虛擬化成本是可以接受的,那麼請使用方法 2。這將是您自己和任何其他未來系統管理員理解/維護的最明智的選擇。使用這種方法,您可以在虛擬機中使用作業系統提供的安裝程序加密,而不是根據需要加密主機上的儲存(這兩種方法都對維護/遷移/等有利/不利)。
  • 如果您必須在生產系統上進行此更改(我強烈建議不要這樣做。讓客戶為使用第二個系統的正確遷移付費),然後使用方法 3 並使用 LUKS 格式的塊設備(最好是邏輯卷) .
  • 在任何這些情況下,基本系統或引導程式碼顯然都可以被木馬植入,從而洩露加密密鑰。除非您手頭有很多時間並且您的客戶有錢可燒,否則不要浪費時間試圖減輕這種風險。如果你必須減輕它,那麼你會想要安裝像 Osiris 這樣的東西。

請記住,數據將面臨更多來自軟體錯誤、備份系統、配置錯誤、密碼錯誤等的風險。

引用自:https://serverfault.com/questions/140013