Verschlüsselung auf Rootserver!?

MarkusF · Beitrag von **MarkusF** » 30.12.2007 16:01:17

Hallo Forum,
ich beschäftige mich gerade recht intensiv mit der Absicherung eines neu aufzusetzenden Rootservers. Bei den Standardempfehlungen zur Sicherung gibt's ja u.a. die Punkte Grub-Passwort und transparente Verschlüsselung. Ok, das Grub-Passwort dürfte etwas unpraktisch sein, so far away beim Hoster

Zur Verschlüsselung nun folgende Überlegung: bei einem erfolgreichen Angriff über Exploit, Brute-Force, PHP-Zeugs etc. schützt eine transparente Verschlüsselung null und nix, schließlich lasse ich den Rootie ja nicht irgendwo am Bahnhof liegen

Wenn ich also meinem Hoster und seinen Sicherungsmaßnahmen vertraue, kann ich das auch lassen!?

Anders sieht es aus wenn ich sensible Daten offline auf dem Server verschlüssle, diese dann unabhängig mit ner Passphrase sichere, z.B. so wie Tripwire das macht.

Bitte versteht das jetzt nicht als absolute Wahrheit sondern als meinen Erkenntnisstand, der bestätigt/widerlegt werden will. Oder andersum gefragt. Gibt's für die Verschlüsselung Argumente?

danke,
Markus

bonbon2k6 · Beitrag von **bonbon2k6** » 30.12.2007 16:41:43

Ich bin immer für Verschlüsselung sensibler daten...lässt sich ganz einfach realisieren mit loop-aes oder cryptsetup mit luks-Aufsatz (mein Tip!). Dazu gibts auch massig Tutorials im debian-wiki.

mfg

armin · Beitrag von **armin** » 30.12.2007 16:47:03

Solange ein Rechner läuft und man auf die Daten zugreifen will hilft einem Verschlüsselung zumindest nichts gegen externe Eindringlinge. Aus dieser Sicht ist Verschlüsselung also sinnlos.
Wird nur temporär auf die Daten zugegriffen kannst du sie natürlich verschlüsseln und bei bedarf von Hand entschlüsseln.
Wenn irgendwie der Verdacht besteht, dass jemand die Hardware mitnehmen könnte und dabei den Rechner ausschaltet ist Verschlüsselung natürlich sehr interessant...

123456 · Beitrag von **123456** » 30.12.2007 16:52:32

Trigger. hat geschrieben:Wenn irgendwie der Verdacht besteht, dass jemand die Hardware mitnehmen könnte und dabei den Rechner ausschaltet ist Verschlüsselung natürlich sehr interessant...

genau, es reicht ja bsp. wenn ein tor Dienst läuft, die IP irgendwo mitgeloggt wird und die Staatsanwaltschaft dann auf die Idee kommt die Dinger mal einzusammeln...
http://www.debianforum.de/forum/viewtopic.php?t=72943

Incom · Beitrag von **Incom** » 07.01.2008 15:46:18

Was mich daran hindert auf dem Root-Server zu verschlüssen ist die Sache mit der Passphrase. Wenn ich mir zb meine Mails verschlüssele und der Rechner dann nachts abschmiert und neu bootet, verliere ich unter Umständen alle Mails die in der Zeit kommen bis ich die Passphrase eingegeben habe. Und auch wenn man die dann umleitet oä. müssten die nachträglich ja in den verschlüsselten Bereich eingepflegt werden.