[求助]现在有什么比较方便实用的linux系统加密技术吗？

水木社区手机版

主题:[求助]现在有什么比较方便实用的linux系统加密技术吗？
2楼|Dazzy|2024-12-30 11:46:08|展开
luks管磁盘加密，secureboot管启动。
这两个方向你可以研究一下。
一次性授权码？听上去很像TOTP的东西。
由于是放在不可信区域的服务器，估计你们另外有备份的了，加密的危险性可以忽略。
【在 ttaudi 的大作中提到: 】
: 请问各位大佬目前linux有什么比较好的系统加密方式？比如只能开机的时候授权才能开机，比如硬盘全盘加密，断电后如果没有密码，无法获得硬盘内的数据。
: 需求的背景是这样的：老板有需要放3台服务器到合作公司提供资料支持，但担心哪天有些什么问题，硬盘被人拿走拷贝，影响比较大。所以需要把硬盘加密了，最好是服务器没有密码都没法启动，所以想看看大伙有没有比较好的加密方案。但为了方便管理（那边不设置维护人员），最好能
: 够网络授权，或者启动时有一次性授权码，让现场员工输入后可以启动。
: ...................
--
FROM 119.129.53.*
7楼|Dazzy|2024-12-31 08:57:09|展开
确实是和bios有关，你要锁死启动链条，就要BIOS/UEFI配合，系统里有secureboot认可的签署证书。大白话说就和手机的锁bootloader一样。
当然，磁盘加密是根本。
不过物理机在别人手里，搞内存镜像，或者把你的系统扔虚拟化环境，提取内存里的解密key或者数据原文信息，也是可以的，类似“不可信宿主机”。看你防范到哪一步，高级别的对手，单纯的加密磁盘也不保险，因为你这个是可运行的系统，且运行环境在别人的控制之下。简单粗暴的社会工程学——翻页录屏也没差。
或者换个思路，合作方只能通过加密网络访问你们的远程服务器，提出查阅请求。内容在你们处所的服务器上，远程查阅行为可记录审计。
【在 ttaudi 的大作中提到: 】
: 请问secureboot怎么弄？我一直以为这个是和BIOS关联的。
--
FROM 119.129.53.*
13楼|Dazzy|2025-01-19 11:27:41|展开
攻防这种事情，期望对手搞不定是很难的，特别是你把服务器和数据副本都送过去了。不用管有没有听过，就看标的有多贵重，你期望拖对手多久。如果是一丁点泄露都不希望有，那就得想想自己是否足够。人家不懂，但可以请外援的。
大企业喜欢用secureboot加tpm来限制牛马的公司下发移动办公设备，方便远程裁员抹数据。不过，牛马的笔记本，可没有全部服务器端数据。

【在 ttaudi @ [LinuxApp] 的大作中提到: 】
:
: 多谢，secureboot这个没搞过，先放到后面了，不过硬盘已经luks加密，应该能有一定的安全。
: 合作方是做贸易的，不搞技术，理论上技术没那么高，是想防范一下哪天散伙了，服务器被搬走，数据被他们轻松拿到。
: 内存镜像和虚拟化环境破解这些是不是会的人很多？感觉你们段位太高了，好多没听说过。。。
:

#发自zSMTH@Redmi Note 11
--

※ 来源:水木社区 [113.115.61.*(广东–广州-电信)]

#修改自zSMTH@Redmi Note 11
※ 修改:·Dazzy 于 Jan 19 11:33:08 2025 修改本文·[FROM: 113.115.61.*]
※ 来源:·水木社区 http://www.mysmth.net·[FROM: 113.115.61.*]

修改:Dazzy FROM 113.115.61.*
FROM 113.115.61.*