Предотвращение кражи данных на удаленно развернутых серверах, подверженных физическому доступу [закрыто]

Я пытаюсь придумать способ защитить серверы Linux, которые подвергаются физическому доступу. Моя конкретная платформа - это Linux-серверы небольшого форм-фактора на материнской плате PC Engines марки alix2d13 . Небольшой размер представляет дополнительный риск удаления из помещения злоумышленником.

Предполагая, что есть физический доступ к серверу:

1) ROOT-PASSWORD: вы подключаете консольный кабель к серверу и получаете запрос пароля. Если вы не знаете пароль, вы можете перезагрузить аппарат в однопользовательском режиме и сбросить пароль. Вуаля, вы получаете root-доступ.

Для того чтобы обеспечить вышеизложенное, вы вводите пароль в меню GRUB, чтобы при перезапуске сервера, чтобы войти в однопользовательский режим, вы должны указать пароль GRUB.

2) GRUB_PASSWORD. Если вы выключите компьютер, достанете жесткий диск и смонтируете его на другой рабочей станции, вы сможете просмотреть /bootкаталог, в котором находится файл grub.cfg, внутри которого вы можете найти пароль GRUB. Вы можете изменить пароль GRUB или удалить его.

Очевидно, что когда мы говорим о больших производственных машинах, скорее всего, физического доступа не будет, и, кроме того, даже если кто-то получит физический доступ к серверу, он не отключит его.

Каковы возможные решения для предотвращения кражи данных на серверах, которые физически легко украсть?

На мой взгляд, так или иначе доступ к содержащимся данным может быть получен.

Правило, из которого я всегда работал, заключается в том, что как только злоумышленник получит физический доступ к вашему хосту, он может в итоге взломать его - если, как говорит kasperd, вы не используете надежное шифрование всего диска с загрузочным паролем и не хотите там, чтобы ввести его каждый раз, когда хост загружается.

Известное мне решение - зашифровать диск и использовать модуль TPM: Trusted Platform Module.

Таким образом, теперь есть способ расшифровать жесткий диск как:

Приложения полного шифрования диска [...] могут использовать эту технологию [TPM] для защиты ключей, используемых для шифрования жестких дисков компьютера, и обеспечения аутентификации целостности для надежного пути загрузки (например, BIOS, загрузочного сектора и т. Д.). сторонние продукты полного шифрования диска также поддерживают TPM. Однако TrueCrypt решил не использовать его. - Википедия

Конечно, я могу ошибаться, и TPM может быть легко взломан, или я не знаю других решений.

Полное шифрование диска - хорошая идея для ноутбуков и небольших домашних серверов.

Полное шифрование диска не требует TPM. И даже TPM не может защитить вас от сложной атаки злой горничной . Таким образом, чтобы действительно защитить ваш небольшой домашний сервер Linux (или центр обработки данных), вам нужны соответствующие другие физические меры противодействия.

Для вашего домашнего использования может быть достаточно установить креативное оборудование DIY, которое:

1. позволяет распознать любое физическое вторжение, когда вы вернетесь и
2. прерывает электропитание вашего компьютера при любой попытке физического вторжения.

Для журналистов и разоблачителей, сталкивающихся с некоторыми крупными компаниями или могущественными государственными органами в качестве своих врагов, это, вероятно, все еще недостаточно безопасно. У этих трехбуквенных агентств может быть судебно-медицинское оборудование, необходимое для извлечения открытого текста из ОЗУ даже через несколько минут после отключения питания .

Вот простое решение: пересобрать ядро ​​без однопользовательского режима!

Проще говоря, отредактируйте используемое вами ядро ​​linux так, чтобы режим S был переназначен так, как вам нужен режим по умолчанию (3,4,5). Таким образом, любая попытка загрузки в однопользовательском режиме запускает систему в обычном режиме. Возможно, вы могли бы сделать то же самое в сценариях инициализации. Таким образом, не было бы никаких специальных средств для входа в систему, не зная пароля.

Идите и спросите на сайте электроники. Я почти уверен, что есть встроенные SOC-проекты, которые шифруют все, и, как только вы это сделаете, «невозможно» реконструировать.

Тем не менее, я был на презентации DefCon, где команда показала, как именно они ее разобрали. Во многих случаях микросхемы не были слиты, или конструкция микросхемы по глупости включала неподключенный порт отладки. На других они химически удаляли слои чипа и считывали чип с помощью электронного микроскопа. Вы никогда не будете в безопасности от действительно преданных хакеров.

Я хотел бы предложить другой подход, если вы готовы рассмотреть деструктивные профилактические меры. Попробуйте припаять конденсатор большой емкости к жесткому диску и оперативной памяти, которые при обнаружении несанкционированного доступа (вы выбираете метод / датчики) разряжают разрушающие данные.

Это «запрещает» доступ в том смысле, что никто не может получить доступ к системе впоследствии. Таким образом, он отвечает на вопрос дословно, хотя, возможно, совершенно не хватает ваших намерений.

Конденсатор - это всего лишь пример. Другие возможности существуют. Проблема заключается в том, что уничтожение устройства (или, по крайней мере, данных, которые оно содержит) является допустимым.

Возможны также решения на основе таймера - если устройство не может пинговать каждые несколько минут / часов / ... домой, оно само уничтожается. Много разных возможностей по этой теме.

Потенциальным решением было бы использовать полное шифрование диска, положить ключ на USB-накопитель / карту памяти и поместить компьютер в металлическую коробку с одной дверцей, имеющей выключатель открывания, а также некоторые датчики окружающей среды.

Чтобы загрузить устройство, как только вы вставляете USB-накопитель в порт (на внешней стороне «хранилища»), оно считывает оттуда ключ FDE и загружает систему. Если «хранилище» когда-либо открыто, переключатель открытия перезагрузит систему, удалив ключ из памяти.

Если среда позволяет это сделать, вы можете добавить дополнительные датчики, такие как температура, ускорение, влажность и т. Д. Если в сообщенных значениях обнаруживается внезапное изменение, система сбрасывается, поэтому, если вор просто пытается взять систему и поставить ее в его кармане он уже будет сброшен, прежде чем он даже отсоединит его от всех своих кабелей.