লিনাক্সে পাসওয়ার্ড-কম প্রমাণীকরণ সহ পূর্ণ ডিস্ক এনক্রিপশন


16

আমি ডেবিয়ান 5.0.5 এ মোটামুটি স্ট্যান্ডার্ড ডিস্ক এনক্রিপশন সেটআপ করেছি: এনক্রিপ্ট করা /bootপার্টিশন, এবং এনক্রিপ্ট করাsdaX_crypt যাতে অন্যান্য সমস্ত পার্টিশন রয়েছে।

এখন, এটি একটি হেডলেস সার্ভার ইনস্টলেশন এবং আমি এটি কোনও কীবোর্ড ছাড়াই বুট করতে সক্ষম হতে চাই (এই মুহুর্তে আমি কেবল একটি কীবোর্ড এবং একটি মনিটর সংযুক্ত করে বুট করতে পারি)।

এখন পর্যন্ত আমার /bootকাছে একটি ইউএসবি ড্রাইভে পার্টিশন স্থানান্তর করার এবং কীটি স্বয়ংক্রিয়ভাবে প্রবেশ করার জন্য সামান্য পরিবর্তন করার একটি ধারণা আছে (আমার মনে askpassহয় বুট স্ক্রিপ্টে কোথাও কেবলমাত্র একটি কল এসেছে )। এইভাবে আমি হেডলেস বুট করতে পারি, বুট করার সময় একটি ফ্ল্যাশ ড্রাইভ থাকা দরকার।

আমি এটি দেখতে হিসাবে এটির সাথে সমস্যাটি হ'ল

  1. এটিকে কাজ করার জন্য আমাকে সমস্ত বিট এবং টুকরা বের করার জন্য সময় বিনিয়োগ করতে হবে,
  2. যদি কোনও আপডেট থাকে, যা পুনরায় জেনারেট করে initrd, আমাকে ইউএসবিতে বুট পার্টিশনটি পুনরায় তৈরি করা দরকার, যা ক্লান্তিকর বলে মনে হয়।

প্রশ্ন: আমি যা করতে চাই তার জন্য কি কোনও মানসম্মত নিম্ন-আপ সমাধানের ব্যবস্থা রয়েছে? নাকি আমার পুরোপুরি অন্য কোথাও সন্ধান করা উচিত?

উত্তর:


7

আপনি আপনার সিস্টেমে পাসওয়ার্ডের পরিবর্তে একটি কী প্রয়োজন এবং একটি ইউএসবি স্টিকে এই কীটি অনুসন্ধান করতে কিছু স্ক্রিপ্ট পরিবর্তন করতে পারেন। আমি ডেবিয়ান লেনির উপর এই প্রক্রিয়াটির একটি বিশদ ব্যাখ্যা পেয়েছি । শেষে কিছু নোট রয়েছে যা দেবিয়ান এর নতুন সংস্করণগুলির জন্য প্রয়োজনীয় পরিবর্তনগুলি বর্ণনা করে।


আমার যা প্রয়োজন তা মনে হচ্ছে। উত্তরটি গ্রহণ করার আগে আমাকে প্রথমে আপডেটগুলির মধ্যে কাজ করে রাখা কতটা প্রচেষ্টা তা দেখতে হবে।
অ্যালেক্স বি

ঠিক আছে, "মানক" সমাধান না থাকলেও এটি কার্যকর হয়েছে বলে মনে হয়।
অ্যালেক্স

5

তবে পুরো ডিস্ক এনক্রিপশন করার কী আছে, যদি আপনি কেবল প্লেইন টেক্সটে প্রায় কীগুলি রেখে চলেছেন?

এটি কাজ করার জন্য, মাইক্রোসফ্ট এবং বিগ মিডিয়া তাদের নিজের দুষ্ট ব্যবহারকারীর পরাস্ত করার উদ্দেশ্যে এটি হাইজ্যাক করার আগে বিশ্বাসযোগ্য কম্পিউটারিং প্ল্যাটফর্মটির মতো হওয়ার মতো কিছু দরকার ছিল something

ধারণাটি হ'ল মাদারবোর্ডে কী রয়েছে এমন চিপ রয়েছে এবং এটি কীগুলি কেবল তখনই দেয় যখন এটি যাচাই করা হয় যে সফ্টওয়্যারটি চলছে তা কোনও বিশ্বস্ত কর্তৃপক্ষের (আপনি) দ্বারা সঠিকভাবে স্বাক্ষরিত হয়েছিল। এইভাবে আপনি কীগুলি সরল দৃষ্টিতে ছেড়ে যাবেন না এবং আপনাকে ইন্টারেক্টিভভাবে সার্ভারটি বুট করতে হবে না।

এটি অত্যন্ত দুঃখের বিষয় আমি বিশ্বাস করি না যে কোনও বিশ্বস্ত কম্পিউটিং কোনও ভাল ব্যবহারের জন্য রেখেছিল , যা আসলে শেষ ব্যবহারকারীর পক্ষে কার্যকর হতে পারে ।


আপনার এসএসএইচ কী-তে প্লেইন টেক্সট এ চারপাশে রাখার চেয়ে চাবিটি আর প্লেটেক্সটে রাখা হয়নি ~/.ssh। আমি কেবল সম্পূর্ণ ডিস্ক এনক্রিপশন সহ একটি হেডলেস সার্ভার বুট করতে এবং কীটি বের করতে চাই। আমি বুঝতে পেরেছি যে আক্রমণকারী এনক্রিপ্ট করা বুট পার্টিশনটি পরিবর্তন করতে পারে এবং কীটি (যেমন কোনও সফ্টওয়্যার ভিত্তিক নিয়মিত পাসওয়ার্ড সংস্করণের মতোই) চুরি করতে পারে তবে আমি কেবল নৈমিত্তিক চুরির হাত থেকে রক্ষা করছি।
অ্যালেক্স বি

আসলে টিপিএম আবার ডিআরএম থেকে ফিরে এসে সরকারী এবং উদ্যোগগুলিতে ইদানীং ব্যবহার করে। প্রচুর পরিমাণে ওএস রয়েছে যা গোপন কীগুলি সংরক্ষণ করতে এটি ব্যবহার করতে পারে, আমি এমন কোনও কথা জানি না যা সততা সুরক্ষা সরবরাহ করে (যেমন কোনও আক্রমণকারীকে কীলগার প্রবেশ করতে না দেওয়া /boot)।
গিলস 'খারাপ হয়ে যাওয়া বন্ধ করুন'

@ অ্যালেক্সবি: আপনার সার্ভারে কি টিপিএম আছে? যদি তা হয় তবে আপনি সম্ভবত বিশ্বস্ত গ্রাব দিয়ে যা করতে চান তা করতে পারেন ।
গিলস 7-2 এ

উল্লেখ্য, সরলরেখায় কীগুলি রেখে দেওয়ার সুবিধা রয়েছে যা হ'ল পুরো ডিস্কটি শূন্য না করে আপনি কোনও ডিস্কে সংবেদনশীল ডেটা পুরোপুরি মুছতে পারবেন। হ্যাঁ, আপনি সুপারব্লক বা পার্টিশন টেবিলটি শূন্য করতে পারেন তবে আমরা সবাই জানি, এখনও সেই অপারেশনগুলি থেকে ডেটা পুনরুদ্ধারযোগ্য।
strugee

@ মরজি: আপনি যদি LUKS ব্যবহার করেন, LUKS শিরোনামকে শূন্য করা পুরো ভলিউমটিকে অপ্রয়োজনীয় করে তোলে। যদি আপনি সরল শিরোনামহীন dm-crypt ব্যবহার করেন তবে হ্যাঁ, এটি একটি পাসওয়ার্ডের পরে পরে পুনরুদ্ধারযোগ্য।
জে সুলিভান

5

মান্ডোস (যা আমি এবং অন্যরা লিখে রেখেছি) এই সমস্যাটি সমাধান করে:

ম্যান্ডোস হ'ল এনক্রিপ্ট করা রুট ফাইল সিস্টেমগুলির সাথে সার্ভারগুলিকে অযৌক্তিকভাবে এবং / অথবা দূর থেকে পুনরায় বুট করার অনুমতি দেওয়ার জন্য একটি সিস্টেম। দেখুন ইন্ট্রো ম্যানুয়েল পৃষ্ঠা একটি প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী তালিকা সহ, আরও তথ্যের জন্য।

সংক্ষেপে, বুটিং সার্ভারটি নিরাপদে ফ্যাশনে নেটওয়ার্কের মাধ্যমে পাসওয়ার্ড পেয়ে যায়। বিশদের জন্য পুনরায় দেখুন।


1
এমনকি যদি এই নিখরচায় সফ্টওয়্যারটি উল্লেখ করে যে এটি আপনার পণ্য যা আসলে প্রয়োজন না হলে প্রশংসা করা হবে । আরও পঠনযোগ্য README / এফএকিউ লিঙ্ক এবং মান্ডোস কীভাবে কাজ করে তার একটি সংক্ষিপ্ত ব্যাখ্যাও প্রশংসা করবে।
গিলস 21'11 এ

1
@ গিলস: এখন হয়ে গেছে।
টেডি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.