Vlákno názorů k článku Vzdálené odemykání šifrovaného disku na serveru s Debianem od czechsys - Linuxy jsou v tomhle tezce pozadu. Staci porovnat...
-
Linuxy jsou v tomhle tezce pozadu. Staci porovnat schopnosti Bitlockeru v kombinaci s AD. Napr. Windows muzu zapnout/vypnout/pozastavit sifrovani podle potreby. Linux to potrebuje mit dopredu a pak je to staticky setup se slozitejsi administraci pri zmene.
Jinak clanek resi server, ale tak strasne teoreticky. Zapomina na rozdil mezi fyzickym a virtualnim serverem.
Kde to resi, jak je ten server vubec pripojeny k siti? Umi to zminovane reseni LACP, vlan atd.? Dnes typicky server casto neni pripojeny pouze k jedne vlan.
Nebo treba, pokud server neni na dhcp, kde je vztah initramfs vuci konfiguraci site?
Jinak treba zrovna HP od urcitych typu ma radice s moznosti HW sifrovani. A odemykani techto radicu lze bud lokalne (popr. pres ILO), nebo automaticky po siti pres vzdaleny controller.
-
Nejaka cast clanku Ti asi usla - ta, kde sa riesi nastavenie siete mimo DHCP.
Vyhoda tohto rieseina oproti Win/AD/BitL je ta, ze na odsifrovanie Ti staci ten kluc, da sa to tiez automatizovat a funguje to aj ked klakne AD. A napr. mozes na tom prevadzkovat takuto sluzbu (AD ekvivalent) bez toho, aby si mal kruhovu zavislost.
-
A zautomatizujete to jak?
Uz z toho popisu je videt, kolik extra kroku je potreba jen pro blbe zprozovneni toho sifrovani. Udrzovat tohle v ansible/puppet atd musi byt vyzivne.
A to sitovani je kriticke, k cemu mi bude, ze budu mit staticky nastavenou IP, kdyz ten server bude pripojeny pres LACP, ale ten sifrovaci modul nebude umet takovou sit nastavit?
-
Jan HrachStříbrný podporovatel> A zautomatizujete to jak?
Shell skriptem? :-)
> Uz z toho popisu je videt, kolik extra kroku je potreba jen pro blbe zprozovneni toho sifrovani.
Článek je extrémně detailní (to není výtka, je tak přístupný i lidem, co nejsou na problematiku experti).
> ale ten sifrovaci modul nebude umet takovou sit nastavit?
V tom initramdisku je busybox (a dá se tam dát i libovolná jiná utilita, ale je pak dost velký) a dá se tam dát custom skript, takže se dá nastavit úplně cokoli.
-
Jan HrachStříbrný podporovatel
> Staci porovnat schopnosti Bitlockeru v kombinaci s AD.
Já tomu teda nerozumím, ale BitLocker mám spojený s tím, jak to natáhlo klíč z TPM a automaticky ho to nešifrovaný zapsalo do RAM.
> Napr. Windows muzu zapnout/vypnout/pozastavit sifrovani podle potreby.
Jak to funguje? Na Linuxu máme cryptsetup-reencrypt, který umí inplace zašifrovat či odšifrovat. Na Windows to myslím funguje tak, že se šifruje defaultně, ale pokud je šifrování „vypnuté“, tak se klíč automaticky nahrává při bootu bez hesla (z toho nešťastného TPM). To je ekvivalentní tomu mít Linux se šifrovaným diskem a vypínání/zapínání šifrování dělat tak, že se do initramdisku přidá keyfile.
> Umi to zminovane reseni LACP, vlan atd.? Nebo treba, pokud server neni na dhcp, kde je vztah initramfs vuci konfiguraci site?
LACP nevím co je :), VLAN to samozřejmě umí, je tam normální busybox s jeho implementací ip. DHCP se řeší v článku, doslova je tam napsáno "IP=192.168.2.19::192.168.2.254:255.255.255.0:debian".
> Jinak treba zrovna HP od urcitych typu ma radice s moznosti HW sifrovani.
Jak je auditované a jak dobrý je disaster recovery?
-
Ja pracuji s premisou, ze kazdy sifrovaci system pro sifrovani disku pri pristupu k temto disku ulozi klic v RAM. Takze jestli to tak dela TPM, veracrypt, luks a janevimcojeste, pro mne neni tak dulezity.
Dulezity je pro mne schopnost fungovat v cele infrastrukture.
Cryptsetup-reencrypt - pokud zastavim/vypnu sifrovani na disku ve windows, nemusim delat zadne zasahy do konfigurace ohledne nazvu disku. Plati to i pro toto? Protoze kdyz se kouknu na svou konfiguraci luks2, tak v /etc/crypttab je uvedeno toto:
<target name> <source device> ...
Cili operuji s 2 jmeny zarizeni.
LACP, resp. bonding, to byste snad mel znat ne?
Ohledne auditu...mate audit na busybox? dropbear? na ty ruzny scripty. atd.? Vazne tu chcete mavat slovickem audit?
Jinak precist si o tom muzete napr. https://support.hpe.com/hpesc/public/docDisplay?docId=c04200141&docLocale=en_US - (HP Secure Encryption). -
@czechsys
ses si jistej ze server s napr. 4xLAN a v OS nastaven Bond + v Switch (dle zvoledeho rezimu) nastaven Bond... ze server nastartovanej v initramdisku s nastavenim pouze 1 z tech 4x LAN a to bez Bondu, ze nebude z LAN dosatupnej? nebo dotupnej bude, Switch ty 3x zbyle LAN bude ignorovat...
jinak samozrejme Bond zprovoznit v initramdisku pujde...
EDIT: k ":vypnuti" sifrovani LUKS, v tom tvem /etc/crypttab pises ze mas:
<target name> <source device> ...
a v tech "..." je prave dalsi "none" tedy ses vyzvan k napsani hesla...
pokud bys chtel sifrovani vypnout, misto none tam bude cesta k keyfile, takze se to pres nej odemkne samo...EDIT2: to "vypnout" je v kontextu vejs samozrejme mysleno to ze nejsi pouze dotazan na heslo, dale je disk sifrovan, pochybuju ze Windows pri "vypnuti" sifrovani bude realne prepisovat celej disk desifrovanejma datama...
9. 12. 2021, 15:46 editováno autorem komentáře
-
Ad LACP - zalezi na switchi. U HP Procurve jsem se setkal s tim, ze to fungovalo i bez LACP, pokud neprisly dane pakety (prepinano pres active/passive). U jinych znacek se zase bez LACP konfigurace sit nespojila.
Ad vypnout - pokud vypnu bitlocker (zejmena skrz tpm), tak se disk jednoznacne desifruje. Jak jinak by pak fungoval v jinem stroji? Ze by byl stale castecne sifrovany a klic by byl ulozeny na disku misto v tpm? Jako primo jsem to neoveroval, ale kdyz jsem se zapinanim/vypinanim manipuloval, tak bylo vzdy potreba cekat (i desitky minut na ssd), nez dobehne dana operace.
-
Jan HrachStříbrný podporovatel
> Takze jestli to tak dela TPM, veracrypt, luks a janevimcojeste, pro mne neni tak dulezity.
Je důležitý. LUKS/Veracrypt při standardním použití (notebook/desktop) vyžadují, aby byl u toho uživatel a zadal heslo. Při odemykání přes SSH vyžadují, aby se k adminovi nedoneslo, že před chvílí vykradli serverovnu, a že už to nedělá popáté, zatímco se server vždycky magicky restartuje.
TPM ho vydá kdykoli a kdekoli.
> nemusim delat zadne zasahy do konfigurace ohledne nazvu disku
Možná ani ne, pokud je systém na LVM, protože to to LVM s rootfs najde a tak se nemusí ptát na heslo. Ale možná se to při nalezení již neplatného řádku v crypttabu kousne, to nevím.
> Ohledne auditu...mate audit na busybox? dropbear? na ty ruzny scripty. atd.? Vazne tu chcete mavat slovickem audit?
No dobře, audit nebylo správně zvolené slovo, jde o to, aby bylo všem na očích například to, jak se generují klíče - tam jsou neustále nějaké chyby, kdy to má zásadně nižší entropii, kdy se jako klíč použije timestamp okamžiku prvního spuštění atd.
