- 主题:[求助]现在有什么比较方便实用的linux系统加密技术吗?
请问各位大佬目前linux有什么比较好的系统加密方式?比如只能开机的时候授权才能开机,比如硬盘全盘加密,断电后如果没有密码,无法获得硬盘内的数据。
需求的背景是这样的:老板有需要放3台服务器到合作公司提供资料支持,但担心哪天有些什么问题,硬盘被人拿走拷贝,影响比较大。所以需要把硬盘加密了,最好是服务器没有密码都没法启动,所以想看看大伙有没有比较好的加密方案。但为了方便管理(那边不设置维护人员),最好能够网络授权,或者启动时有一次性授权码,让现场员工输入后可以启动。
--
FROM 120.231.241.*
硬盘加密好弄,就是不知道如何解决远程问题,还有就是要加密所有硬盘(包括系统),还是只加密硬盘?
【 在 KeepHope 的大作中提到: 】
: cryptsetup,你说这几个需求应该都能满足,基本所有发行版都自带
--
FROM 120.231.241.*
请问secureboot怎么弄?我一直以为这个是和BIOS关联的。
【 在 Dazzy 的大作中提到: 】
: luks管磁盘加密,secureboot管启动。
: 这两个方向你可以研究一下。
: 一次性授权码?听上去很像TOTP的东西。
: ...................
--
FROM 120.231.241.*
有没有连系统一起加密的方案,空OS启动然后ssh这个方法不错,就是还能再进一步吗?
【 在 KeepHope 的大作中提到: 】
: 他说可以接受网络授权,所以最省事的做法是,空OS不带luks直接起,然后带核心信息的那部分(cryptsetup luks全盘/全分区加密),让线上的人登进来手工挂载,并启动相应服务
: 或者线上是个脚本定时过来溜达一圈,就不用手工了
:
--
FROM 120.231.241.*
多谢,secureboot这个没搞过,先放到后面了,不过硬盘已经luks加密,应该能有一定的安全。
合作方是做贸易的,不搞技术,理论上技术没那么高,是想防范一下哪天散伙了,服务器被搬走,数据被他们轻松拿到。
内存镜像和虚拟化环境破解这些是不是会的人很多?感觉你们段位太高了,好多没听说过。。。
【 在 Dazzy 的大作中提到: 】
: 确实是和bios有关,你要锁死启动链条,就要BIOS/UEFI配合,系统里有secureboot认可的签署证书。大白话说就和手机的锁bootloader一样。
: 当然,磁盘加密是根本。
: 不过物理机在别人手里,搞内存镜像,或者把你的系统扔虚拟化环境,提取内存里的解密key或者数据原文信息,也是可以的,类似“不可信宿主机”。看你防范到哪一步,高级别的对手,单纯的加密磁盘也不保险,因为你这个是可运行的系统,且运行环境在别人的控制之下。简单粗暴的社会工程学——翻页录屏也没差。
: ...................
--
FROM 120.231.241.*
多谢!你说的BMC是不是和戴尔的iDRAC差不多?我觉得你这个方法挺好的,感觉再把shell history指向/dev/null,应该就不会留下luks密码了。
网络方面有什么好推荐吗?f r p之前没有用过,现在是用腾讯云服务器跑 w i r e g u a r d,然后其它的都连到腾讯云服务器,这样就互通了。
【 在 KeepHope 的大作中提到: 】
: 我以为我已经说清楚了……
: 连OS一起加密也可以,那就最好你用来解密的是单独另外一台不加密且联网的机器,如果服务器带bmc就更便捷了。
: 而OS不加密,只核心数据和服务放在加密盘,更省事,一台机器就行,OS起来就自动联公网,你可以远程过来手工解密并挂盘,启动服务。
: ...................
--
FROM 120.231.241.*
不是只读,可读写,还有win的虚拟机要登录。
两边互联网出口小,如果只是小文件还好说,大文件传递时间太长,不方便,所以弄个类似镜像的服务。
【 在 KeepHope 的大作中提到: 】
: 如果只读,我也奇怪为啥非得扔物理机过去
: 除非对方也有数据要写入系统,又不想任何流量上到公网
:
--
FROM 120.231.241.*