Vlákno názorů k článku Velká řešení otevřeně: základní vybavení od ebik - Sifrovani boot partition? To jako nema bezet 24/7?...
-
Sifrovani boot partition? To jako nema bezet 24/7? Protoze jestli jo, tak bud poznate, ze to je vypnuty, nebo se do toho dostane utocnik za behu, a pak je oddil pripojeny, takze utocnik ani nepotrebuje heslo znat... Pokud vymenujete disk za ziva tak snad ani neni sance, ze by se z noveho disku data pouzila. A pokud s tim sam manipulujete za vypnuteho stavu, tak si stejne musite byt jisty, ze vam nekdo nedodal modifikovany disk (s vlastnim nezasifrovanym bootovacim oddilem). A k sirfovani toho ostatniho, kde ze to vlastne planujete ulozit heslo, tak aby se ho utocnik nedozvedel? Nebo to po zapnuti potrebuje manualni zasah?
Jediny prinos zasifrovaneho oddilu vidim v tom, ze teoreticky neni nutne disk pred vyhozenim promazat, pokud by na nem mohla byt citliva data. Ale tady se vracim k bezpecnemu ulozeni klice. Pokud to nema byt na tom serveru, tak by bylo asi nejlepsi aby bootoval ze site (aby se daly disky vyhodit), pak ale nepotrebuju zadny bootovaci oddil.
Jestli mate nekdo scenar, kdy by na 24/7 serveru davalo sifrovani smysl, tak se podelte. Ja ho tam moc nevidim.
-
Pro případ, že disk (celý server) někdo ukradne? Ale je to trochu mimo... to podstatné v článku z velké části chybí a to, co tam tak nějak logicky nezapadá, o tom je největší část. Každopádně, pokud jde opravdu o citlivá data, tak nezbývá, než to zašifrovat celý. On se normální server nerestartuje každej druhej den, aby byl takovej problém ho jednou za čas nahodit a klidně i osobně, když už tak moc nevěřím idrac/ilo/ipmi.
-
Crow (neregistrovaný)
> Pokud to nema byt na tom serveru, tak by bylo asi nejlepsi aby bootoval ze site (aby se daly disky vyhodit), pak ale nepotrebuju zadny bootovaci oddil.
Chápu to správně, že by se přes pxe natáhnul do paměti os ze kterého by se pak normálně fungovalo? Jak bych třeba potom řešil mount disků? Je to reálné použitelné/nasaditelné?
Vždy mi tahle možnost přišla z nějakého důvodu atraktivní.
P. S. Jako scénář by mě asi napadla razie státních orgánů. To jestli chci mít s takovým serverem něco společného je otázka jiná.
-
Adam KaliszStříbrný podporovatelJoyent to se SmartOS dělá. Je to někde na videu s Bryanem Cantrillem. Mají víc místa pro uživatelská data... a 300 MB image navíc není tak moc na dnešní RAM.
-
pf (neregistrovaný)
Sirovani disku na serveru snad jedine proti fyzicky kradezi, kdyz lezi server nekde na koberci v serverovne/normlani mistnosti nekde v mensi/stredni firme.
Automaticky odemceni po restartu se da celkem jednoduse udelat tak, ze se velkej datovej RAID (kde sou ty dulezity data) ani nemusi pripojujovat pri bootu, ale klidne az po bootu se do /etc/rc.local prida skript, kerej si sahne klidne po ssh nekam na sit a veme si klic k sifrovani RAIDu a odemkne ho. Po kradezi se ten sitovej klic da hned zneplatnit (smazat) + chranit pristup na nej z jinejch siti.
Pokud nebudeme chtit ani aby to sahani na sit pro klic nebylo citelny ve forme skriptu, da se udelat binarka v Ccku (nebo čemsi) a je to zas o kus dál.
Treba. -
Aby to fungovalo opravdu dokonale, bylo by potřeba, aby po rebootu klíč byl alespoň dočasně nedostupný, protože když se k tomu někdo dostane fyzicky, rebootuje, spustí si z flashky nějaký live distro, přečte klíč přes ssh a maže i se serverem pryč. Obfuskace binárkou místo skriptu je dost chabá, když někdo ví co dělá a navíc třeba může i vědět, jak je ten systém udělanej (špatně placený zaměstnanec to mohl vykecat, vyhozený zaměstnanec se mstí...). Ale potom to jaksi ztrácí smysl, protože po regulérním rebootu to bude zase stejnej opruz. Maximálně by šlo na regulérní reboot vypnout dočasně to zneplatnění, ale v ten moment je opět server zranitelný, i když jen chvíli. Jakýkoliv ústupek v otázce bezpečnosti se může nevyplatit a pokud se jedná o opravdu cenná data, je třeba počítat s lidským faktorem - takže s čímkoliv. Ono je kolikrát velmi těžké domyslet, jaký důsledek může mít byť jen minimální ústupek a obecně bych řekl, že buď jsou to nějaké nepříliš zajímavá data a na šifrování se můžeme vykašlat, nebo je to něco, co by mohlo někomu stát za problémy a pak je potřeba to udělat pořádně. Když už by byl někdo ochotný kvůli datům naběhnout do datacentra, zdolat ochranku, dostat se přes několik dveří až k racku a ukrást server, pak už je potřeba počítat s čímkoliv.
-
Problem je v tom, ze server je kdesi v rackove skrini, kam muze mit pristup cizi osoba. Neni tedy problem, aby sel nekdo okolo a rekneme "vytrhl" disk ze serveru. V takovem pripade je dobre mit disk sifrovany. Vypnuty server sice poznam, ale to uz take muze byt pozde a data zcizena. Heslo samozrejme nikde ulozene neni, ale zadava se manualne (IPMI, SSH, fyzicka klavesnice). Proto je vhodne, aby se nemusel moc casto delat reboot a pripadne se zde daji delat ustupky mezi mirou zabezpeceni a pohodlnosti. Taky bych mohl odemykat HW tokenem, ale to opravdu znamena k tomu serveru prijet, coz neni vzdy mozne.
-
Fyzický přístup třetí osoby k serveru osobně považuji za problém. Může se pokusit pomocí díry v nějakém usb ovladači získat přístup, může vložit "sniffer" na lan a pak zapříčinit "náhodný" výpadek proudu. Pochybuju, že to IPMI bude zabezpečené. Ještě tak to SSH by se dalo, ale v tom případě se nebavíme o zašifrovaném bootovacím oddílu. A pak je zase otázka, jak zjistit, že nenabootoval systém upravený o keylogger. Zůstává pak jen možnost startovat to s fyzickým přístupem (aby člověk mohl udělat fyzickou kontrolu serveru při startu). Ostatní možnosti jsou spíše jen pocit, než bezpečí.
Takže uzamykatelný rack, a komunikaci mimo rack pouze zabezpečeným protokolem (pro účely nabootování). Jinak se bavíme pouze o teoretickém zabezpečení, nebo ekvivalentu FABky na dveřích u bytu. Ta se ale dává jen proto, aby náhodný kolemjdoucí neměl nutkání krást. Běžně zkušený zloděj takovou obranu překoná.
Stejně tak tady bych použil nejprve mechanické zabezpečení, to se alespoň nedá hacknout po síti, a většinou vyžaduje fyzickou (občas i hlučnou) manipulaci, u které je šance, že si někdo všimne něčeho podezřelého. Pak teprve bych řešil jakékoli elektronické zabezpečení proti mechanické manipulaci. -
. . (neregistrovaný)
těch případů, které to řeší je ale více, pokud mám třeba nový HW, disk se porouchá, chci ho dát na reklamaci. V případě, kdy nešifruji, mám problém, ona fyzická likvidace mě stojí víc než samotný disk a k tomu mi ještě u sešrotovaného disku neuznají záruku. A porouchaný disk se špatně maže.
Pokud má server raid řadič, šifrování často za menší licenční poplatek zvládá samotný řadič a za odměnu si nechá klíče jen pro sebe a není potřeba nikde nic zadávat při bootu.
-
To je stejná úrovneň bezpečnosti jako mít ty klíče třeba na USB nebo SATA flashce na vnitřím USB nebo SATA portu na motherboardu. Pak ale nic nebrání tam mít celý boot. A můžou ty flashky bejt pro jistotu dvě v raidu 1, pokud chce mít člověk jistotu. Některé motherboardy mají dokonce takovou flashku přímo na desce (to byl myslím nějaký 2U server od HP).
-
. . (neregistrovaný)
jak se to vezme, z HP Smart Array ty klíče reálně nedostaneš, z flasky si je zkopíruješ aniž by o tom někdo věděl, ten HP třeba maže klíče, když ho zapojíš do jiného serveru.
Ano, těch možností je spousta, boot na flashce nebo přes ipxe je také často vídané řešení, nechci polemizovat nad tím co je bezpečnější, to se bez znalosti prostředí a očekávaných útoků říct nedá.
Chtěl jsem pouze oponovat tomu, proč je užitečné data na disku šifrovat, s novou EU legislativou to bude daleko ožehavější a začnou se disky šifrovat častěji.
-
No, vlastně se to dá shrnout do toho, jestli bráníme heslo proti:
1.) někomu, kdo může ten server otevřít, vlézt dovnitř a cokoliv tam vyndat/zandat
2.) někomu, kdo získá práva roota na běžícím serveru
V bodě dva si takový člověk může stáhnout data přímo. V bodě jedna může mít možnost donutit server aby nabootoval jeho operační systém aniž by manipuloval s řadičem, takže se také dostane k datům. Je tam velmi úzký use case kdy to tu bezpečnost zvýší, ale mě to připadá, že to spíš umožní šifrovat disky bez ohledu na to, jestli a jak rozumí správce šifrování systémem. -
M. (neregistrovaný)
Ono to záleží na té implementci šifrování v tom HW řadiče. Výše byl zmíněn případ HP řadičů.
Ale jsou řadiče, které to mají výrazně rozšířeno, takže třeba jsou spojeny i s detekci narušení HW, takže když někdo zkusí server otevřít (i ve vypnutém stavu), tak pak už řadič nedovolí nebootovat. Stejně tak slušnější řdiče mají v sobě čidla na vibrace, teplotu, radiaci, akcelerometry, ..., takže řadič mající v sobě šifrovací klíče odmítne nabootovat nebo přímo klíče smaže při detekci, že se serverem hýbalo, zkoušel ho něko otevřít, případně mrazit/zahřívat, navrtat atd... no, tko vybavné řadiče už nebývjí v základu a doplněí zvedá cenu serveru násobkem.
Samozřejmě toto neřeší ten bod 2, že někdo získá práva na běžícím serveru, to už se musí řešit jinými prostředky, ať už šifruji celé disky jakýmkoliv způsobem.
Ale tento článek se zabývá low cost řešením pro malou firmu, kde nejde postihnou vše v daném rozpočtu. Zde otázku fyzického přístupu k serveru v kumbále může řešit "dostatečně" nasraný párek hladových dobrmanů a šifrování disku řeší třeba hlavně to, aby nunikla data přes zatoulaný disk (kdo řeší toto vážně, tak stejně disk na konci životnoti nebo i při selhání prohání drtičkou, ať byl/nebyl obsah na něm šifrován).
