শারীরিক অ্যাক্সেসের উন্মুক্ত দূরবর্তী মোতায়েন করা সার্ভারগুলিতে ডেটা চুরি রোধ করা [বন্ধ]

আমি লিনাক্স সার্ভারগুলিকে শারীরিক অ্যাক্সেসের মুখোমুখি করা নিরাপদ করার একটি উপায় সম্পর্কে চিন্তা করার চেষ্টা করছি। আমার নির্দিষ্ট প্ল্যাটফর্মটি হ'ল একটি পিসি ইঞ্জিন ব্র্যান্ডের alix2d13 মাদার বোর্ডের ফর্ম ফ্যাক্টর লিনাক্স সার্ভারগুলি । ছোট আকারটি আক্রমণকারী দ্বারা প্রাঙ্গণ থেকে অপসারণের অতিরিক্ত ঝুঁকি উপস্থাপন করে।

ধরে নিচ্ছি যে সার্ভারটিতে শারীরিক অ্যাক্সেস রয়েছে:

1) রুট-পাসওয়ার্ড: আপনি সার্ভারের সাথে একটি কনসোল কেবলটি সংযুক্ত করেন এবং আপনি একটি পাসওয়ার্ডের জন্য একটি প্রম্পট পান। আপনি যদি পাসওয়ার্ডটি না জানেন তবে আপনি একক ব্যবহারকারী মোডে মেশিনটি পুনরায় চালু করতে পারেন এবং পাসওয়ার্ডটি পুনরায় সেট করতে পারেন। ভাল, আপনি রুট অ্যাক্সেস পেতে।

উপরেরটি সুরক্ষিত করার জন্য আপনি GRUB মেনুতে একটি পাসওয়ার্ড প্রবেশ করান যাতে একক ব্যবহারকারী মোডে প্রবেশ করার জন্য সার্ভারটি পুনরায় চালু করা হয় আপনাকে GRUB পাসওয়ার্ড সরবরাহ করতে হবে।

2) GRUB_PASSWORD। আপনি যদি মেশিনটি বন্ধ করে দেন তবে হার্ড ড্রাইভটি বের করে অন্য একটি ওয়ার্কস্টেশনে এটি মাউন্ট করুন আপনি সেই /bootডিরেক্টরিটি ব্রাউজ করতে সক্ষম করতে পারবেন যার মধ্যে grub.cfg ফাইল রয়েছে যার মধ্যে আপনি GRUB পাসওয়ার্ড খুঁজে পেতে পারেন। আপনি হয় GRUB পাসওয়ার্ড পরিবর্তন করতে পারেন বা এটি মুছতে পারেন।

স্পষ্টতই যখন আমরা বড় প্রযোজনা মেশিনগুলির বিষয়ে কথা বলি তখন সম্ভবত কোনও শারীরিক অ্যাক্সেস থাকবে না এবং সেগুলি বাদ দিবে, এমনকি যদি কেউ সার্ভারে শারীরিক অ্যাক্সেস পান তবে সে এটিকে বন্ধ করবে না।

শারীরিকভাবে চুরি করা সহজ সার্ভারগুলিতে ডেটা চুরি রোধের সম্ভাব্য সমাধানগুলি কী কী?

আমি এটি যেভাবে দেখছি, এতে থাকা ডেটাতে একটি উপায় বা অন্য কোনও অ্যাক্সেস পাওয়া যায়।

আমি যে নিয়মটি থেকে সর্বদা কাজ করেছিলাম তা হ'ল একবার আক্রমণকারী আপনার হোস্টের কাছে শারীরিক অ্যাক্সেস পেয়ে গেলে তারা শেষ পর্যন্ত এটিতে প্রবেশ করতে পারে - যতক্ষণ না ক্যাস্পারড না বলে, আপনি বুট পাসওয়ার্ড সহ শক্তিশালী অল-ডিস্ক এনক্রিপশন ব্যবহার করেন এবং তাতে রাজি হতে চান না সেখানে প্রতিবার হোস্ট বুট করে প্রবেশ করতে to

আমি যে সমাধানটি সম্পর্কে অবগত রয়েছি তা হ'ল ডিস্কটি এনক্রিপ্ট করে একটি টিপিএম: বিশ্বস্ত প্ল্যাটফর্ম মডিউল

এইভাবে এখন হার্ড ড্রাইভটি ডিক্রিপ্ট করার উপায় রয়েছে:

সম্পূর্ণ ডিস্ক এনক্রিপশন অ্যাপ্লিকেশনগুলি [...] কম্পিউটারের হার্ড ডিস্কগুলি এনক্রিপ্ট করার জন্য ব্যবহৃত কীগুলি সুরক্ষিত করতে এবং বিশ্বস্ত বুট পাথওয়ের (যেমন BIOS, বুট সেক্টর, ইত্যাদি) অখণ্ডতা প্রমাণীকরণ সরবরাহ করতে এই প্রযুক্তিটি [টিপিএম] ব্যবহার করতে পারে of তৃতীয় পক্ষের ফুল ডিস্ক এনক্রিপশন পণ্যগুলিও টিপিএম সমর্থন করে। তবে ট্রুক্রিপ্ট এটি ব্যবহার না করার সিদ্ধান্ত নিয়েছে। - উইকিপিডিয়া

অবশ্যই আমি ভুল হতে পারি এবং টিপিএম সহজেই ফাটল ধরে যেতে পারে বা অন্য সমাধানগুলি আমি জানি না।

সম্পূর্ণ ডিস্ক এনক্রিপশন ল্যাপটপ এবং ছোট হোম সার্ভারের জন্য একটি ভাল ধারণা।

পূর্ণ ডিস্ক এনক্রিপশনের জন্য কোনও টিপিএম প্রয়োজন হয় না। এমনকি একটি টিপিএম আপনাকে একটি পরিশীলিত দুষ্টু কাজের মেয়ে আক্রমণ থেকে রক্ষা করতে অক্ষম । সুতরাং আপনার ছোট হোম লিনাক্স সার্ভারকে (বা একটি ডেটা সেন্টার) সত্যিই সুরক্ষিত করার জন্য আপনার উপযুক্ত অন্যান্য শারীরিক প্রতিরোধ ব্যবস্থা প্রয়োজন।

আপনার বাড়ির ব্যবহারের ক্ষেত্রে কিছু সৃজনশীল ডিআইওয়াই হার্ডওয়্যার ইনস্টল করার পক্ষে এটি পর্যাপ্ত হতে পারে যা:

1. আপনি ফিরে আসার সময় এবং কোনও শারীরিক অনুপ্রবেশ সনাক্ত করতে দেয়
2. শারীরিক অনুপ্রবেশের কোনও চেষ্টাতে আপনার কম্পিউটারের বিদ্যুৎ সরবরাহকে বাধা দেয়।

কিছু বিপুল সংস্থার মুখোমুখি সাংবাদিক এবং হুইসেল ব্লোয়াররা তাদের শত্রু হিসাবে এগুলি সম্ভবত এখনও যথেষ্ট নিরাপদ নয়। এই তিনটি লেটার এজেন্সির কাছে বিদ্যুত বন্ধ হওয়ার কয়েক মিনিট পরেও র্যাম থেকে পরিষ্কার পাঠ্য উদ্ধার করার জন্য প্রয়োজনীয় ফরেনসিক সরঞ্জাম থাকতে পারে ।

এখানে একটি সহজ সমাধান: একক-ব্যবহারকারী মোড ছাড়াই কার্নেলটি পুনর্নির্মাণ করুন!

আরও যথাযথভাবে বলতে গেলে, আপনি যে লিনাক্স কার্নেলটি ব্যবহার করছেন তা সম্পাদনা করুন যাতে আপনার ডিফল্ট মোডটি (3,4,5) যাই ঘটবে তাই মোড এসটিকে পুনরায় তৈরি করা হবে। এইভাবে, একক-ব্যবহারকারী মোডে বুট করার যে কোনও প্রয়াস সিস্টেমটিকে সাধারণত শুরু করে। আপনি সম্ভবত init স্ক্রিপ্টগুলিতে একই জিনিস করতে পারেন। এইভাবে পাসওয়ার্ড না জেনে সিস্টেমে প্রবেশের কোনও বিশেষ উপায় থাকবে না।

যান এবং ইলেক্ট্রনিক্স সাইটে জিজ্ঞাসা করুন। আমি নিশ্চিত যে এমবেডেড এসওসি ডিজাইনগুলি রয়েছে যা সমস্ত কিছু এনক্রিপ্ট করে এবং একবার আপনি এটি ফিউজ করে ফেললে ইঞ্জিনিয়ারের বিপরীত হওয়া "অসম্ভব"।

এটি বলেছিল, আমি একটি ডিফকন উপস্থাপনায় ছিলাম যেখানে দলটি ঠিক কীভাবে এটিকে আলাদা করেছিল তা দেখিয়েছিল। অনেক ক্ষেত্রে চিপগুলি ফিউজ করা হয়নি, বা চিপ ডিজাইনে বোকামিযুক্ত একটি সংযোগযুক্ত ডিবাগ পোর্ট অন্তর্ভুক্ত করা হয়েছে। অন্যদের উপর তারা চিপ স্তরগুলি কেমিক্যালি অপসারণ করে এবং একটি ইলেক্ট্রন মাইক্রোস্কোপ স্ক্যান সহ চিপটি পড়ে। আপনি সত্যই নিবেদিত হ্যাকারদের থেকে কখনই নিরাপদ থাকবেন না।

যদি আপনি ধ্বংসাত্মক প্রতিরোধমূলক ব্যবস্থা বিবেচনা করতে ইচ্ছুক হন তবে আমি একটি ভিন্ন পদ্ধতির প্রস্তাব দিতে চাই। আপনার এইচডিডি এবং র‌্যামের জন্য একটি বৃহত ক্ষমতার ক্যাপাসিটারকে সোল্ডারিংয়ের বিষয়টি বিবেচনা করুন, যা টেম্পার সনাক্তকরণে (আপনি পদ্ধতি / সেন্সরগুলি স্থির করেন) ডেটা ধ্বংসকারীকে স্রাব করে।

এটির পরে "কেউ" সিস্টেমে অ্যাক্সেস করতে পারে না তার খালি ধারায় অ্যাক্সেস "প্রতিরোধ করে"। সুতরাং এটি প্রশ্নের ভারব্যাটিকামের উত্তর দেয়, সম্ভবত আপনার উদ্দেশ্য সম্পূর্ণরূপে হারিয়ে যায়।

একটি ক্যাপাসিটার কেবল একটি উদাহরণ। অন্যান্য সম্ভাবনা বিদ্যমান। সমস্যাটি হ'ল ডিভাইসটির আবহাওয়া ধ্বংস (বা এতে অন্তত ডেটা রয়েছে) গ্রহণযোগ্য।

টাইমার ভিত্তিক সমাধানটিও সম্ভব - যতক্ষণ না ডিভাইস প্রতি কয়েক মিনিট / ঘন্টা / ঘন্টার মধ্যে বাড়িতে পিং করতে পারে ... এটি নিজের ক্ষতি করে। এই থিম বরাবর অনেক বিভিন্ন সম্ভাবনা।

একটি সম্ভাব্য সমাধান হ'ল ফুল ডিস্ক এনক্রিপশন ব্যবহার করা, একটি ইউএসবি স্টিক / মেমরি কার্ডে চাবি লাগানো এবং কম্পিউটারটিকে একটি একক দরজা সহ একটি ধাতব বাক্সে রাখা, যার সাথে একটি পরিবেশগত সেন্সর এবং কিছু পরিবেশগত সেন্সর রয়েছে।

ডিভাইসটি বুট করার জন্য একবার আপনি বন্দরে ইউএসবি ড্রাইভ রেখেছিলেন ("ভল্টের" বাইরে) এবং এটি সেখান থেকে এফডিই কীটি পড়ে এবং সিস্টেমটি বুট করে। যদি "ভল্ট" কখনও খোলা থাকে তবে মেমরি থেকে কীটি মুছে ফেলা খোলার স্যুইচটি সিস্টেমটিকে পুনরায় সেট করবে।

যদি পরিবেশ এটির অনুমতি দেয় তবে আপনি আরও বেশি সেন্সর যুক্ত করতে পারেন যেমন তাপমাত্রা, ত্বরণ, আর্দ্রতা ইত্যাদি reported এমনকি তার পকেটে এটি তার সমস্ত তারগুলি থেকে সংযোগ বিচ্ছিন্ন করার আগেই এটি ইতিমধ্যে পুনরায় সেট হয়ে যাবে।