Chiffrement complet du disque avec authentification sans mot de passe sous Linux

16

J'ai une configuration de chiffrement de disque assez standard dans Debian 5.0.5: /bootpartition non chiffrée et chiffrée sdaX_cryptqui contient toutes les autres partitions.

Maintenant, c'est une installation de serveur sans tête et je veux pouvoir le démarrer sans clavier (pour le moment, je ne peux le démarrer qu'avec un clavier et un moniteur connectés).

Jusqu'à présent, j'ai une idée de déplacer la /bootpartition sur un lecteur USB et d'apporter de légères modifications pour entrer automatiquement la clé (je pense qu'il y a juste un appel à askpassdans le script de démarrage quelque part). De cette façon, je peux démarrer sans tête, il suffit d'avoir un lecteur flash au démarrage.

À mon avis, le problème est que

  1. J'ai besoin d'investir du temps pour trouver tous les morceaux pour le faire fonctionner,
  2. S'il y a une mise à jour, qui se régénère initrd, j'ai besoin de régénérer la partition de démarrage sur l'USB, ce qui semble fastidieux.

La question: existe-t-il une solution standard à faible entretien pour ce que je veux faire? Ou devrais-je chercher ailleurs?

Alex B
la source

Réponses:

7

Vous pouvez configurer votre système pour exiger une clé au lieu d'un mot de passe et modifier certains scripts pour rechercher cette clé sur une clé USB. J'ai trouvé une explication détaillée de ce processus sur Debian Lenny. Il y a quelques notes à la fin qui décrivent les changements nécessaires pour les nouvelles versions de Debian.

Marcel Stimberg
la source
Sonne comme ce dont j'ai besoin. Je dois d'abord voir combien d'efforts il faut pour que les choses fonctionnent entre les mises à jour avant d'accepter la réponse.
Alex B
D'accord, bien qu'il n'y ait pas de solution "standard", cela semble avoir fonctionné.
Alex B
5

Mais alors quel est l'intérêt d'avoir un chiffrement complet du disque, si vous laissez simplement les clés en clair?

Pour que cela fonctionne, vous auriez besoin de quelque chose comme ce que la plate-forme informatique de confiance était censée être avant que Microsoft et Big Media ne la détournent à leurs propres fins malveillantes.

L'idée est d'avoir une puce contenant les clés dans la carte mère et de ne les donner que lorsqu'il est vérifié que le logiciel en cours d'exécution a été correctement signé par une autorité de confiance (vous). De cette façon, vous ne laissez pas les clés bien en vue et vous n'avez pas à démarrer le serveur de manière interactive.

C'est dommage que je n'ai jamais vu Trusted Computing utilisé à bon escient , ce qui pourrait en fait être utile pour l'utilisateur final .


la source
La clé ne repose pas plus en clair que votre clé SSH en clair ~/.ssh. Je veux juste pouvoir démarrer un serveur sans tête avec un cryptage complet du disque et retirer la clé. Je me rends compte que l'attaquant peut modifier la partition de démarrage non chiffrée et voler la clé (comme avec une version de mot de passe standard basée sur un logiciel de toute façon), mais je me protège juste contre le vol occasionnel.
Alex B
En fait, le TPM est revenu du DRM et des utilisations gouvernementales et des entreprises ces derniers temps. Il existe de nombreux systèmes d'exploitation qui peuvent l'utiliser pour stocker des clés secrètes, je n'en connais aucun qui offre une protection de l'intégrité (c'est-à-dire ne permettant pas à un attaquant d'insérer un enregistreur de frappe /boot).
Gilles 'SO- arrête d'être méchant'
@AlexB: Votre serveur a-t-il un TPM? Si c'est le cas, vous pouvez probablement faire ce que vous voulez avec Trusted Grub .
Gilles 'SO- arrête d'être méchant'
Notez qu'il y a un avantage à laisser les clés en texte clair, ce qui pourrait permettre d'effacer complètement les données sensibles sur un disque sans remettre à zéro le disque entier. Oui, vous pouvez mettre à zéro le superbloc ou la table de partition, mais comme nous le savons tous, les données sont toujours récupérables à partir de ces opérations.
strugee
@strugee: si vous utilisez LUKS, la remise à zéro de l'en-tête LUKS rend le volume entier irrécupérable. Si vous utilisez dm-crypt sans en-tête, alors oui, il est toujours récupérable plus tard avec un mot de passe.
Jay Sullivan
5

Mandos (que j'ai écrit avec d'autres) résout ce problème:

Mandos est un système permettant aux serveurs dotés de systèmes de fichiers racine chiffrés de redémarrer sans surveillance et / ou à distance. Voir la page de manuel d'introduction pour plus d'informations, y compris une liste de FAQ.

En bref, le serveur de démarrage obtient le mot de passe sur le réseau, de manière sécurisée. Voir le README pour plus de détails.

Teddy
la source
1
Même s'il s'agit d'un logiciel gratuit, il serait apprécié que ce soit votre produit s'il n'était pas réellement requis . Un lien README / FAQ plus lisible et une brève explication du fonctionnement de Mandos seraient également appréciés.
Gilles 'SO- arrête d'être méchant'
1
@Gilles: terminé maintenant.
Teddy