artiom_n Aug 24 2018 at 13:33

Bonding и SSH-сервер в initramfs

5 min

11K

Information Security*System administration**nix*DIYData storage*

Recovery Mode

+23

Comments 10

Dvlbug Aug 24 2018 at 16:15

>>> при каждом таком отключении (электричества), чтобы снова включить систему, приходилось ездить в другой город.

Возможно я немного не понимаю проблему, но разве это не решается настройкой в BIOS'e?
After AC Power Loss: Last State | Power On. Или же Wake-on-lan?

UPD. Прошу прощения, невнимательно прочел. Речь о вводе ключа шифрования
>>>Благодаря подсказке от ValdikSS, эту проблема была решена. Но…

artiom_n Aug 24 2018 at 16:26

Возможно я немного не понимаю проблему, но разве это не решается настройкой в BIOS'e?
After AC Power Loss: Last State | Power On. Или же Wake-on-lan?

См. оригинальную статью. NAS с полнодисковым шифрованием.

Dvlbug Aug 24 2018 at 16:49

А в чем была причина ставить / на зашифрованный раздел, because we can?
В результате вы получили необходимость ехать в другой город для разблокировки, но могли бы по ssh зайти в систему и смонтировать ФС со всеми конфиденциальными данным, если бы оставили root не зашифрованным.

artiom_n Aug 24 2018 at 16:57

Нет, не поэтому.

Задача в том, чтобы минимизировать объём ПО, подверженный несанкционированному изменению.

Dvlbug Aug 24 2018 at 18:18

Это должно решится установкой tripwire, все изменения файлов подписываются созданным ключом.

artiom_n Aug 24 2018 at 20:35

Я как-то пользовался Samhain — аналогичным продуктом. Не решается. И поддерживать такое решение сложно даже только для ОС.
Тем более, при наличии физического доступа к системе у атакующего, всё ещё сильнее усложняется.
Хотя, никто не запрещает его использовать, как дополнительную меру безопасности.

alexkuzko Aug 25 2018 at 10:56

Немного странный вопрос, а можно ли доверять такому вводу если на удаленной стороне пытаются перехватить трафик? Понятно что SSH, но немного страшновато ))

artiom_n Aug 25 2018 at 11:04

Я ожидал такого вопроса.
Надо уточнить где:

Если MitM в канале, то да, у SSH от этого есть защита, ведь ключ вы распределяете, используя надёжный канал (контролируемую ЛВС или флешку). Считаем, что протоколы надёжны, и вы можете доверять SSH и его реализации.
Если под контролем находится физическое устройство, нет. Тут вопрос решается дополнительными мерами, которые относятся к регламенту. Вам бы сказали на этот счёт: "Закроем орг. мерами".

Alexufo Aug 24 2018 at 23:24

where is the «any» key? ответ на кдпв

artiom_n Aug 26 2018 at 09:39

На самом деле, не совсем:

Скрытый текст

Но суть та же.