vollverschl. Systeme remote booten

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
sergej2018

vollverschl. Systeme remote booten

Beitrag von sergej2018 » 13.02.2018 20:49:18

Hallo zusammen,

habe ein paar Server, die vollverschlüsselt sind.
Gibt's ne Möglichkeit, diese trotzdem remote zu booten, bzw. das Passwort über einen sicheren Kanal einzugeben?
Bisher mache ich das per Tastatur. Ist kein Drama, aber manchmal nervig.

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: vollverschl. Systeme remote booten

Beitrag von schwedenmann » 13.02.2018 20:51:04

Hallo

Schau mal ob das etwas ist, was dir dabei helfen könnte

https://wiki.recompile.se/wiki/Mandos

mfg
schwedenmann

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: vollverschl. Systeme remote booten

Beitrag von breakthewall » 13.02.2018 22:26:04

Also grundsätzlich ist das möglich, auch mit sicherer Authentifizierung. Und wahnsinnig aufwändig einzurichten ist das auch nicht.

Nur solltest dabei beachten:
Ein Server zu dem Fremde vollen physischen Zugang haben, ist nicht länger dein Server. Ganz gleich was hier verschlüsselt wird, sobald der Server läuft, sind alle Daten seitens des Server-Anbieters vollständig einsehbar.

Dem könnte man nur mit einer vollständigen Verschlüsselung des Arbeitsspeichers entgegenwirken, was derzeit nur mit den AMD EPYC Server-CPUs funktionieren würde. Doch die Technik dahinter wurde noch nicht vollständig in den Linux-Kernel integriert, noch sind diese CPUs derzeit weit verbreitet. Hinsichtlich Intel wird auch an soetwas gearbeitet, was jedoch noch dauern wird.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: vollverschl. Systeme remote booten

Beitrag von eggy » 13.02.2018 22:46:33

Du kannst Dropbear dazu benutzen, direkt beim Boot ne ssh-Verbindung aufzubauen, über die Du die Passphrase eingeben kannst. Einfach mal nach "ssh dropbear crypt boot" suchen, dann sollten genug Infos rausfallen.

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: vollverschl. Systeme remote booten

Beitrag von NAB » 14.02.2018 00:09:50

Wie voll mögen diese vollverschlüsselten Systeme verschlüsselt sein? So ganz voll geht ja nicht ...
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: vollverschl. Systeme remote booten

Beitrag von eggy » 14.02.2018 01:09:40

/boot ist es dabei in der Regel nicht, "Charlie" könnte also hingehen und die initrd gegen seine "ich schreib die Passphrase mal auf den Bildschirm"-initrd tauschen - das Risiko hat man immer, sobald man die Hardware aus der Hand gibt.

sergej2018

Re: vollverschl. Systeme remote booten

Beitrag von sergej2018 » 14.02.2018 05:16:36

Guten Morgen zusammen,

danke für euren Input, den Link schaue ich mir nachher an!
Die Hardware befindet sich allerdings noch vollständig in unserer Hand ;-)
Steht hier im Rechenzentrum. Es geht lediglich darum, etwas mehr Schutz zu haben. Und dank AES-NI kostet das ja auch kaum noch Performance.

PS: /boot kann man ganz gut "schützen", wenn man die Dateien mit Prüfsummen sichert. Dann bekommt man im Zweifel mit, wenn sich etwas geändert hat.

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: vollverschl. Systeme remote booten

Beitrag von NAB » 14.02.2018 06:39:11

Ich rate dann mal, dass /boot doch nicht verschlüsselt ist. Dann guck dir lieber diesen Link an:
https://hamy.io/post/0005/remote-unlock ... tu-debian/
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Antworten