J'essaie de penser à un moyen de sécuriser les serveurs Linux qui sont exposés à un accès physique. Ma plate-forme spécifique est constituée de serveurs Linux à petit facteur de forme sur une carte mère alix2d13 de marque PC Engines . La petite taille présente un risque supplémentaire de retrait des locaux par un attaquant.
En supposant qu'il existe un accès physique au serveur:
1) MOT DE PASSE RACINE: vous connectez un câble de console au serveur et vous obtenez un mot de passe. Si vous ne connaissez pas le mot de passe, vous pouvez redémarrer la machine en mode mono-utilisateur et réinitialiser le mot de passe. Voilà, vous obtenez un accès root.
Afin de sécuriser ce qui précède, vous insérez un mot de passe dans le menu GRUB , donc lorsque le serveur est redémarré pour entrer en mode mono-utilisateur, vous devez fournir le mot de passe GRUB.
2) GRUB_PASSWORD. Si vous arrêtez la machine, sortez le disque dur et montez-le sur un autre poste de travail, vous pourrez parcourir le /boot
répertoire qui contient le fichier grub.cfg dans lequel vous pouvez trouver le mot de passe GRUB. Vous pouvez soit modifier le mot de passe GRUB, soit le supprimer.
Évidemment, lorsque nous parlons de grosses machines de production, il n'y aura probablement aucun accès physique et à part cela, même si quelqu'un obtient un accès physique au serveur, il ne le fermera pas.
Quelles sont les solutions possibles pour empêcher le vol de données sur des serveurs physiquement faciles à voler?
De la façon dont je le vois, un accès d'une manière ou d'une autre aux données contenues peut être obtenu.
Réponses:
La règle à partir de laquelle j'ai toujours travaillé est qu'une fois qu'un attaquant a un accès physique à votre hôte, il peut éventuellement y pénétrer - à moins que, comme le dit kasperd, vous n'utilisiez un chiffrement fort sur tous les disques avec un mot de passe de démarrage et que vous soyez disposé à être là pour y entrer chaque fois que l'hôte démarre.
la source
La solution que je connais est de crypter le disque et d'utiliser un TPM: Trusted Platform Module
De cette façon, il est désormais possible de déchiffrer le disque dur comme suit:
Bien sûr, je peux me tromper et le TPM peut être facilement craqué ou je ne connais pas d'autres solutions.
la source
Le chiffrement complet du disque est une bonne idée pour les ordinateurs portables et les petits serveurs domestiques.
Le chiffrement complet du disque ne nécessite pas de module de plateforme sécurisée. Et même un TPM est incapable de vous protéger contre une attaque sophistiquée de femme de chambre maléfique . Donc, pour vraiment protéger votre petit serveur Linux domestique (ou un centre de données), vous avez besoin d'autres contre-mesures physiques appropriées.
Pour votre cas d'utilisation à domicile, il peut être suffisant d'installer du matériel de bricolage créatif qui:
Pour les journalistes et les dénonciateurs qui font face à d'énormes entreprises ou à de puissantes agences gouvernementales comme leurs ennemis, cela n'est probablement pas encore suffisamment sécurisé. Ces trois agences peuvent avoir l' équipement médico - légal nécessaire pour récupérer le texte clair de la RAM même quelques minutes après la mise hors tension .
la source
Voici une solution simple: reconstruisez le noyau sans mode mono-utilisateur!
En termes plus appropriés, modifiez le noyau linux que vous utilisez afin que le mode S soit remappé sur le mode par défaut (3,4,5). De cette façon, toute tentative de démarrage en mode mono-utilisateur démarre normalement le système. Vous pourriez probablement faire la même chose dans les scripts d'initialisation. De cette façon, il n'y aurait aucun moyen spécial d'entrer dans le système sans connaître le mot de passe.
la source
init=/bin/bash
. Cela vous démarrera dans un shell bash racine, où vous pourrez ensuite monter/
.Allez-y et demandez sur le site de l'électronique. Je suis à peu près sûr qu'il existe des conceptions SOC intégrées qui chiffrent tout et une fois que vous les fusionnez, il est "impossible" de procéder à une rétro-ingénierie.
Cela dit, j'étais à une présentation DefCon où l'équipe a montré exactement comment elle l'avait démonté. Dans de nombreux cas, les puces n'avaient pas été fusionnées, ou la conception de la puce incluait bêtement un port de débogage non connecté. Sur d'autres, ils ont retiré chimiquement les couches de puces et ont lu la puce au microscope électronique. Vous ne serez jamais à l'abri de pirates vraiment dévoués.
la source
J'aimerais proposer une approche différente, si vous êtes prêt à envisager des mesures préventives destructrices. Envisagez de souder un condensateur de grande capacité sur votre disque dur et votre RAM, qui lors de la détection de sabotage (vous décidez de la méthode / des capteurs) décharge les données destructrices.
Cela "empêche" l'accès dans le sens vide de personne ne peut accéder au système par la suite. Il répond donc à la question mot pour mot, tout en manquant peut-être complètement votre intention.
Un condensateur n'est qu'un exemple. D'autres possibilités existent. Le problème est que la destruction par les intempéries de l'appareil (ou au moins des données qu'il contient) est acceptable.
Une solution basée sur un minuteur est également possible - à moins que l'appareil ne puisse cingler à la maison toutes les quelques minutes / heures / ... il s'autodétruit. Beaucoup de possibilités différentes sur ce thème.
la source
Une solution potentielle serait d'utiliser le cryptage complet du disque, de mettre la clé sur une clé USB / carte mémoire et de placer l'ordinateur dans une boîte métallique avec une seule porte avec un interrupteur d'ouverture, ainsi que des capteurs environnementaux.
Pour démarrer le périphérique une fois que vous avez mis la clé USB dans le port (à l'extérieur du "coffre-fort"), il lit la clé FDE à partir de là et démarre le système. Si le "coffre-fort" est ouvert, l'interrupteur d'ouverture réinitialisera le système et effacera la clé de la mémoire.
Si l'environnement le permet, vous pouvez ajouter plus de capteurs tels que la température, l'accélération, l'humidité, etc. Si un changement soudain est détecté dans les valeurs signalées, le système se réinitialise, donc si un voleur essaie simplement de prendre le système et de le mettre dans sa poche, il sera déjà réinitialisé avant même de le déconnecter de tous ses câbles.
la source