- 主题:[求助]现在有什么比较方便实用的linux系统加密技术吗?
cryptsetup,你说这几个需求应该都能满足,基本所有发行版都自带
--
FROM 61.48.132.*
他说可以接受网络授权,所以最省事的做法是,空OS不带luks直接起,然后带核心信息的那部分(cryptsetup luks全盘/全分区加密),让线上的人登进来手工挂载,并启动相应服务
或者线上是个脚本定时过来溜达一圈,就不用手工了
【 在 Dazzy 的大作中提到: 】
: luks管磁盘加密,secureboot管启动。
: 这两个方向你可以研究一下。
: 一次性授权码?听上去很像TOTP的东西。
: ...................
--
FROM 61.48.132.*
我以为我已经说清楚了……
连OS一起加密也可以,那就最好你用来解密的是单独另外一台不加密且联网的机器,如果服务器带bmc就更便捷了。
而OS不加密,只核心数据和服务放在加密盘,更省事,一台机器就行,OS起来就自动联公网,你可以远程过来手工解密并挂盘,启动服务。
跟BIOS无关,理论上关机拔盘也防住(OS不加密的方式下,别把luks密码留在shell history里就行)
至于公网怎么连,不用一一列出吧?
虚拟私网 或者 f r p 之类的随意选择
【 在 ttaudi 的大作中提到: 】
: 有没有连系统一起加密的方案,空OS启动然后ssh这个方法不错,就是还能再进一步吗?
:
--
FROM 61.48.132.*
如果只读,我也奇怪为啥非得扔物理机过去
除非对方也有数据要写入系统,又不想任何流量上到公网
【 在 Dazzy 的大作中提到: 】
: 确实是和bios有关,你要锁死启动链条,就要BIOS/UEFI配合,系统里有secureboot认可的签署证书。大白话说就和手机的锁bootloader一样。
: 当然,磁盘加密是根本。
: 不过物理机在别人手里,搞内存镜像,或者把你的系统扔虚拟化环境,提取内存里的解密key或者数据原文信息,也是可以的,类似“不可信宿主机”。看你防范到哪一步,高级别的对手,单纯的加密磁盘也不保险,因为你这个是可运行的系统,且运行环境在别人的控制之下。简单粗暴的社会工程学——翻页录屏也没差。
: ...................
--
FROM 61.48.132.*
指的就是dell iDRAC,这样你省心,直接拿另外一台机器过来走idrac解密完事
只要机器重启,不输密码连os都加载不了
我的技术栈比较老,办公都是openv PP n,一些临时破需求就f r p
w i r g r d啥的也行吧,只要是自建,不依赖第三方服务器就行
【 在 ttaudi 的大作中提到: 】
: 多谢!你说的BMC是不是和戴尔的iDRAC差不多?我觉得你这个方法挺好的,感觉再把shell history指向/dev/null,应该就不会留下luks密码了。
: 网络方面有什么好推荐吗?f r p之前没有用过,现在是用腾讯云服务器跑 w i r e g u a r d,然后其它的都连到腾讯云服务器,这样就互通了。
:
--
FROM 61.48.132.*