একটি এনক্রিপ্ট করা ফাইল সিস্টেমের সাহায্যে লিনাক্স সার্ভারটি স্বয়ংক্রিয়ভাবে বুট করা এবং সুরক্ষিত করা

16

আমি কিছু নতুন উবুন্টু সার্ভার সেট আপ করছি, এবং আমি চুরির বিরুদ্ধে তাদের ডেটা সুরক্ষিত করতে চাই। হুমকির মডেল হ'ল আক্রমণকারীরা হার্ডওয়্যারটি কামনা করে বা বরং তথাকথিত নিখরচায় আক্রমণকারী।

এই বিভাগটি নোট করুন।

হুমকির মডেলটিতে ডেটা কামনা করে স্মার্ট আক্রমণকারীদের অন্তর্ভুক্ত করা হয় না ; আমার ধারণা তারা নীচের একটি বা আরও কিছু করবে:

  1. অবিচ্ছিন্নভাবে মেশিনটি চালিয়ে যেতে পাওয়ার জন্য একটি ইউপিএসকে পাওয়ার ক্যাবেলে বিভক্ত করুন।

  2. কম্পিউটার এবং নেটওয়ার্ক টার্মিনেশন পয়েন্টের মধ্যে একটি জুড়ি ইথারনেট ব্রিজ sertোকান যা পর্যাপ্ত পরিসরের ওয়্যারলেস নেটওয়ার্কের উপর দিয়ে ট্র্যাফিক ব্রিজ করবে যা হোস্টটি নেটওয়ার্ক সংযোগ বজায় রাখবে।

  3. বাক্সটি খুলুন এবং মজাদার স্টাফ দখল করতে মেমরি বাসে একটি তদন্ত ব্যবহার করুন।

  4. হোস্ট কী করছে তা তদন্ত করতে TEMPEST ডিভাইস ব্যবহার করুন।

  5. আমাকে ডেটা প্রকাশ করতে বাধ্য করার জন্য আইনী উপায় (যেমন আদালতের আদেশ) ব্যবহার করুন

  6. ইত্যাদি ইত্যাদি

সুতরাং আমি যা চাই তা হ'ল কোনও এনক্রিপ্ট করা পার্টিশনের ডিস্কের ডেটা, বা আদর্শগতভাবে সমস্ত তথ্য থাকা এবং কোনও ধরণের বাহ্যিক মিডিয়ায় এটি অ্যাক্সেস করার জন্য প্রয়োজনীয় মূল উপাদানটি রয়েছে। মূল উপাদানটি সংরক্ষণ করার জন্য আমি দুটি পদ্ধতি বিবেচনা করতে পারি:

  1. এটি নেটওয়ার্কের মাধ্যমে অ্যাক্সেসযোগ্য দূরবর্তী হোস্টে সঞ্চয় করুন এবং বুট প্রক্রিয়া চলাকালীন নেটওয়ার্কটি পর্যাপ্ত পরিমাণে কনফিগার করুন। সুরক্ষিত হোস্টকে নির্ধারিত আইপি ঠিকানায় পুনরুদ্ধারের অনুমতি দেওয়া হবে (সুতরাং এটি অন্য নেটওয়ার্ক সংযোগে বুট করা থাকলে এনক্রিপ্ট করা ডেটা অ্যাক্সেসের অনুমতি দেয় না) এবং মেশিনটি চুরি হয়ে গেছে বলে সনাক্ত করা গেলে প্রশাসকরা তাকে অক্ষম করতে পারবেন।

  2. এটি কোনও ইউএসবি স্টোরেজ ডিভাইসে সঞ্চয় করুন যা কোনওভাবে হোস্টের চেয়ে চুরি করা উল্লেখযোগ্যভাবে আরও কঠিন is এটিকে হোস্টের কাছ থেকে দূরবর্তী অবস্থানের যেমন পাঁচটি মিটার ইউএসবি তারের শেষে ঘরের অন্য কোণে বা অন্য কোনও ঘরে leadingোকার ফলে এটি আক্রমণকারীদের নেওয়ার সম্ভাবনা উল্লেখযোগ্যভাবে হ্রাস পাবে। এটিকে কোনও উপায়ে সুরক্ষিত করা যেমন অস্থাবর কোনও কিছুর কাছে শৃঙ্খলাবদ্ধ করে রাখা বা কোনও সুরক্ষিত করে দেওয়া আরও ভাল কাজ করবে।

সুতরাং এটি সেট আপ করার জন্য আমার বিকল্পগুলি কী? যেমনটি আমি আগেই বলেছি, আমি সমস্ত কিছু (সম্ভবত একটি ছোট বুট পার্টিশন বাদে / ইত্যাদিতে এনক্রিপ্ট করা) পছন্দ করবো, যাতে ফাইলগুলি কোথায় রাখছি বা কোথায় সেগুলি নিয়ে আমাকে উদ্বিগ্ন হওয়ার দরকার নেই দুর্ঘটনাক্রমে অবতরণ।

আমরা উবুন্টু 9.04 চালাচ্ছি, যদি এতে কোনও পার্থক্য আসে।

security  encrypting-file-system  boot 
কর্ট জে সাম্পসন
সূত্র
1
আপনার হুমকি মডেলটিতে কি তিনটি অক্ষর সহ ইউনিফর্ম রয়েছে? :)
সোভেন
তারা ইউনিফর্ম পরে না। :-) তবে গম্ভীরভাবে, না; যে কোনও সরকারী সংস্থা, গোপনীয় বা না, সম্ভবত তারা যে কীভাবে দ্রুত ধরে ফেলতে পারে তা নয়, সমস্ত হার্ডওয়্যার গ্রহণের জন্য যথেষ্ট স্মার্ট হতে পারে।
কর্ট জে সাম্পসন
1
আপনার প্রশ্নটি নিজেকে বিপরীত বলে মনে হচ্ছে। প্রথমে আপনি বলেন "আমি চুরির বিরুদ্ধে তাদের উপর ডেটা সুরক্ষিত করতে চাই", তারপরে আপনি "ডেটা চাওয়া স্মার্ট আক্রমণকারীদের অন্তর্ভুক্ত করবেন না" বলেছিলেন। আপনি কি ডেটা সম্পর্কে যত্নশীল বা না?
জোরডাচি
1
আমি এটি সম্পর্কে যত্ন করি। আপনি যদি একই দামের জন্য স্মার্ট আক্রমণকারীদের পাশাপাশি বোবা লোকদের থেকে সুরক্ষিত করতে পারেন তবে দুর্দান্ত, আমি এটি করব। যদি তা না হয় তবে কমপক্ষে আমি এমন পরিস্থিতি এড়াতে চাইছি যখন কেউ একজন পুনর্ব্যবহারের দোকানে ব্যবহৃত ড্রাইভ কিনে এবং এতে আমার ক্লায়েন্টের সমস্ত ডেটা আবিষ্কার করে।
কর্ট জে সাম্পসন
হুমকি মডেলটির মাধ্যমে আসলে চিন্তা করার জন্য +1, একই রকম প্রশ্নযুক্ত অনেকে কিছু করতে ভুলে যান।
স্লেসকে

উত্তর:

8

আমি মান্ডোস নামে অপশন 1 এর একটি চৌকস রূপটি জানি।

এটি একটি জিপিজি কী জুড়ি, অবাহী, এসএসএল এবং আইপিভি 6 এর সংমিশ্রণটি ব্যবহার করে এর প্রাথমিক পার্টিশনের মূল পাসওয়ার্ড সুরক্ষিতভাবে পুনরুদ্ধার করতে আপনার প্রাথমিক র‌্যাম ডিস্কে যুক্ত হয়েছে। মান্ডোস সার্ভার ল্যানে উপস্থিত না থাকলে আপনার সার্ভারটি একটি এনক্রিপ্ট করা ইট বা মান্ডোস সার্ভারটি একটি নির্দিষ্ট সময়ের জন্য মান্ডোস ক্লায়েন্ট সফ্টওয়্যার থেকে হার্টবিটটি না দেখায় এটি কী কী এবং সার্ভারের ভবিষ্যতের অনুরোধগুলি উপেক্ষা করবে পরের বার এটি বুট হওয়ার পরে একটি এনক্রিপ্ট করা ইট।

মান্ডোস হোমপেজ

মান্ডোস পড়ুন

Haakon
সূত্র
1
আকর্ষণীয় ধারণা। আমি ধরে নিচ্ছি আপনি ক্লায়েন্টকে বুট করে PXE করছেন যাতে পাবলিক / প্রাইভেট কীগুলি হার্ড ডিস্ক ড্রাইভে না থাকে। তবুও, আপনি তারের বাই কিপাইরটি স্নুপ করতে পারেন এবং তারপরে ড্রাইভটি ডিক্রিপ্ট করার জন্য সার্ভার কম্পিউটারের মাধ্যমে বাল্ক এনক্রিপশন কীটি সংক্রমণ সংশ্লেষের সংমিশ্রণে এটি ব্যবহার করতে পারেন। এক্সএক্সএক্স টাইম উইন্ডোতে হার্টবিট না শুনলে পুরো "সার্ভারটি কোনও চাবি হাতছাড়া করবে না" খুব লুপে কোনও মানুষকে প্রবেশ করার ঝরঝরে উপায় বলে মনে হচ্ছে। ঝরঝরে প্রকল্প। আপনার শারীরিক অ্যাক্সেস থাকলে পরাজিত করা খুব কঠিন নয়, তবে ঝরঝরে।
ইভান অ্যান্ডারসন
2
ইভান, আপনি মান্দোস পড়ুন এফএকিউ পড়তে চান, আমার মনে হয় ....
কর্ট জে সাম্পসন
হুঁ। আমি কেবল ল্যান জুড়ে মান্দোস কেন চালাচ্ছি সে সম্পর্কে আমি পরিষ্কার নই। এটি কি কারণ এটি কোনও আইপি ঠিকানা এবং কোনও ইন্টারনেট ব্যবহারের জন্য রুট সেট আপ করতে পারে না?
কর্ট জে সাম্পসন
1
কার্ট, মান্ডোস যোগাযোগ করতে আইপিভি 6 লিঙ্কের স্থানীয় ঠিকানা ব্যবহার করে যা স্থানীয় লেনে সীমাবদ্ধ। তবে এর অর্থ এই যে এটির জন্য কোনও বাহ্যিক কনফিগারেশন (ডিএইচসিপি) বা একই ল্যানের অন্যান্য সার্ভারগুলির সাথে দ্বন্দ্বের প্রয়োজন নেই। en.wikedia.org/wiki/…
হাকন
1
মান্ডোসের সহ-লেখক হিসাবে, আমি কেবল হাকনের সাথে একমত হতে পারি। মান্ডোসের জন্য কার্নেল ip=এবং mandos=connectপ্যারামিটারগুলি ব্যবহার করে গ্লোবাল আইপিভি 4 ঠিকানা ব্যবহার করার একটি উপায় রয়েছে , এই মেলটি দেখুন: mail.fukt.bsnet.se/pipermail/mandos-dev/2009-ফেব্রুয়ারি/… তবে মনে রাখবেন যে এটি কিছুটা নাজুক হিসাবে ক্লায়েন্টরা কেবলমাত্র একবার নির্দিষ্ট সার্ভারের সাথে সংযোগ স্থাপনের চেষ্টা করবে এবং অন্যথায় অনিবার্যভাবে ব্যর্থ হবে। প্রস্তাবিত কনফিগারেশনটি ল্যানের মাধ্যমে। আমি আরও উল্লেখ করতে পারি যে মান্ডোস উবুন্টুতে 9.04 সাল থেকে পাওয়া যায় (এবং ডেবিয়ান টেস্টিংয়েও)
টেডি
6

আপনি যদি কেবল অ-প্রযুক্তিগত আক্রমণকারীদের হাত থেকে রক্ষা করতে চান তবে আমার মনে হয় আপনার সেরা বেট ভাল শারীরিক সুরক্ষা।

আমার চিন্তা এইভাবে:

যদি আপনি এমন কোনও বুট সন্ধান করছেন যা মূল উপাদানগুলিতে প্রবেশের জন্য কোনও মানুষের ইন্টারঅ্যাকশনের প্রয়োজন না হয় তবে আপনি কোনও সমাধান নিয়ে আসবেন না যা কোনও আক্রমণাত্মক দ্বারা কোনও প্রযুক্তিগত দক্ষতা সহ (বা আরও সঠিকভাবে, কারিগরি দক্ষতার সাথে কাউকে অর্থ প্রদানের ক্ষমতা)।

কোনও ইউএসবি থাম্ব-ড্রাইভের মতো কিছুতে কী উপাদান রেখে দেওয়া কোনও প্রকৃত সুরক্ষা দেয় না। আক্রমণকারী কেবল থাম্ব ড্রাইভের কীটি পড়তে পারে। থাম্ব ড্রাইভটি যে কম্পিউটারটি প্লাগ ইন করা হয়েছে তা সার্ভার কম্পিউটার বা আক্রমণকারীর ল্যাপটপ কিনা তা জানতে পারে না। সমস্ত আক্রমণকারীকে অবশ্যই তা নিশ্চিত করতে হবে যে তারা হয় সবকিছু নিয়েছে বা কোনও নিরাপদ ভিতরে আটকে থাকা 15 ফুট দীর্ঘ ইউএসবি এক্সটেনো-কেবল শেষে আপনার ইউএসবি কী এর ক্ষেত্রে কেবল তাদের পিসিতে এক্সটেনডো-কেবলটি প্লাগ করুন এবং পড়ুন চাবি.

আপনি যদি নেটওয়ার্কের মাধ্যমে কীটি স্থানান্তর করতে চলেছেন তবে আপনি সম্ভবত এটি "এনক্রিপ্ট" করবেন। সমস্ত আক্রমণকারীকে কী-প্রক্রিয়াকরণের প্রচ্ছন্নতা রক্ষা করতে হবে, সার্ভারটি চুরি করতে হবে এবং তারপরে নেটওয়ার্কটি জুড়ে কীটি প্রেরণ করার সময় আপনি যে কোনও "এনক্রিপশন" করেছিলেন রিভার্স-ইঞ্জিনিয়ারকে। সংজ্ঞা অনুসারে, সার্ভার কম্পিউটারটি নেটওয়ার্ক জুড়ে একটি "এনক্রিপ্টড" কী পেয়েছে যাতে কীটি এটি ব্যবহার করতে "ডিক্রিপ্ট" করতে সক্ষম হয়। সুতরাং, সত্যিই, আপনি কীটি এনক্রিপ্ট করছেন না - আপনি কেবল এটি এনকোড করছেন।

শেষ পর্যন্ত, আপনার সার্ভারে কী ইনপুট করার জন্য একটি (শৈল্পিক?) বুদ্ধি উপস্থিত থাকতে হবে। একটি যা বলতে পারে "আমি জানি যে আমি সার্ভার কম্পিউটার ছাড়া অন্য কারও কাছে চাবিটি প্রকাশ করছি না, এবং আমি জানি যে এটি চুরি হয়নি।" একজন মানুষ এটি করতে পারে। একটি ইউএসবি থাম্ব ড্রাইভ পারে না। যদি আপনি এটি করতে পারেন এমন কোনও অন্য বুদ্ধি খুঁজে পান তবে আমি মনে করি আপনার কাছে বাজারজাতযোগ্য কিছু থাকবে। > হাসা <

সম্ভবতঃ আমি মনে করি, কোনও সুরক্ষা না পেয়ে আপনি কীটি হারাবেন এবং আপনার ডেটা নষ্ট করবেন। এনক্রিপশন গেমগুলির সাথে আপনার কৌশলটির পরিবর্তে, আমি মনে করি আপনি আরও শক্তিশালী শারীরিক সুরক্ষার চেয়ে ভাল।

সম্পাদনা:

আমি মনে করি আমরা সম্ভবত "হুমকি মডেল" শব্দটির বিভিন্ন সংজ্ঞা থেকে কাজ করছি working

যদি আপনার হুমকি মডেলটি হার্ডওয়্যার চুরি হয়, তবে আপনার প্রস্তাবিত সমাধান পুনরায়: ডিস্ক এনক্রিপশন হ'ল যেমন আমি দেখছি, হুমকির বিরুদ্ধে লড়াইয়ের বিষয়ে কিছুই করা হচ্ছে না। আপনার প্রস্তাবিত সমাধানটি হার্ডওয়ারের চুরি নয়, ডেটা চুরির বিরুদ্ধে একটি পাল্টা মাপের মতো দেখায়।

আপনি যদি হার্ডওয়্যারটি চুরি হওয়া বন্ধ করতে চান, আপনাকে এটিকে বল্টু করে ডাউন করতে হবে, লক করে রাখতে হবে, এটি কংক্রিটে আবদ্ধ করতে হবে, ইত্যাদি etc.

আমি যা বলতে চাইছিলাম তা আমি ইতিমধ্যে বলেছি: ডেটা চুরি, সুতরাং আমি আর এটিকে বীণা করব না, কেবল এটি বলার অপেক্ষা রাখে না: আপনি যদি কোনও ভৌত ডিভাইসে চাবিটি রেখে যাচ্ছেন এবং আপনি সুরক্ষা দিতে পারবেন না সার্ভার কম্পিউটারটি চুরি হয়ে যাওয়া থেকে আপনি কী ডিভাইসটি চুরি হওয়া থেকে রক্ষা করতে পারবেন না।

আমার ধারণা আপনার সেরা "সস্তা" সমাধানটি হ'ল একধরণের নেটওয়ার্ক-ভিত্তিক কী এক্সচেঞ্জ rig আমি পুনরায় বুট হওয়ার পরে কীটির "মুক্তি" প্রমাণ করতে এক বা একাধিক মানুষকে লুপে রেখে দেব in মানুষের চাবিটি "মুক্তি" না দেওয়া পর্যন্ত এটি ডাউনটাইমের কারণ হয়ে দাঁড়াবে, তবে কমপক্ষে এটি আপনাকে একটি কী "মুক্তি" কেন অনুরোধ করা হচ্ছে তা অনুসন্ধান করার এবং এটি করার বা করার সিদ্ধান্ত নেওয়ার সুযোগ দেবে।

ইভান অ্যান্ডারসন
সূত্র
এটি সুরক্ষা বিশ্লেষণে একটি ভাল সংযোজন, সুতরাং আমি এটিকে একটি উত্সাহ দিয়েছি, তবে এটি আমার প্রশ্নের উত্তর নয় কারণ আপনি একটি ভিন্ন হুমকির মডেল ব্যবহার করছেন। আমি কার বিরুদ্ধে আছি এবং আমি রক্ষা করছি না সে সম্পর্কে প্রশ্নে আমি কী বলেছি তা নোট করুন।
কর্ট জে সাম্পসন
1
আরও ভাল শারীরিক সুরক্ষার জন্য, আমি প্রথমে কম ব্যয়বহুল বিকল্পগুলি দেখতে চাই। আমাদের বর্তমান পরিবেশে, এমন কিছু ইনস্টল করতে আমাদের হাজার হাজার ডলার ব্যয় করতে হবে যা বল্ট কাটারগুলির একটি জোড়া দিয়ে দ্রুত কেউ পরাস্ত করতে পারে না।
কর্ট জে সাম্পসন
এটি পুনরায় পড়া, আমি নিশ্চিত যে আপনি পরিষ্কার যে আমার হুমকি মডেল প্রতি সেওয়ার্ডের হার্ডওয়ার চুরি নয় , যা মূলত কেবল কোনও অসুবিধা, তবে ডেটা সহবর্তী চুরি যা এর সাথে চলে। ঠিক এই কারণেই আমার প্রস্তাবিত সমাধানটি হার্ডওয়ার চুরির পরিবর্তে ডেটা চুরির বিরুদ্ধে একটি প্রতিবিম্ব।
কর্ট জে সাম্পসন
প্রায় 8 বছরের পুরানো প্রশ্নের একটি মন্তব্য দেখতে আকর্ষণীয়। যদি আপনার সমাধানটি আপনার পক্ষে কাজ করে তবে আমি অবশ্যই এতে সন্তুষ্ট।
ইভান অ্যান্ডারসন
আমি কেবল "আমার নেক্রোপোস্ট করা উচিত নয়" ভাবছিলাম, তারপরে আমি এই শেষ মন্তব্যগুলি দেখেছি। আমি মনে করি কার্টের হুমকি মডেলটি আমার মতো ... হার্ডওয়ারটি চুরির কারও বিরুদ্ধে ডেটা রক্ষা করার জন্য। এটি এবং অনুরূপ পোস্টগুলি সম্পর্কে বেশ কয়েকটি মন্তব্য বলেছে যে মূল কী প্রক্রিয়াটি সম্পর্কে লোকেরা কেবল "শ্রবণ" করতে পারে এবং পরে এটি বের করতে পারে। যে কোনও ধরণের রিপ্লে দ্বারা কেবলমাত্র একটি হাস্যকরভাবে খারাপ প্রক্রিয়াটি ভেঙে যেতে পারে। এছাড়াও ... "সমস্ত আক্রমণকারীকেই করতে হবে" ... "আপনি যে কোনও এনক্রিপশন করেছিলেন রিভার্স ইঞ্জিনিয়ার" ... আমরা কার কথা বলছি? কোন সাধারণ চোরের এমন ক্ষমতা থাকার সম্ভাবনা কী ... বা এমন করার ইচ্ছাও কি?
দারন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.