Как стать автором
Обновить

Радикальная защита селфхостинга. Уровень: хардвар и хардкор

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров11K
Всего голосов 41: ↑40 и ↓1+53
Комментарии36

Комментарии 36

Дочитал до конца, вполне зрелый проект! Подобную услугу могли бы предлагать и крупные хостеры (если не перегибать палку со ... светом, конечно).

Но нейротоксин таки стоит оставить!

Подобную услугу могли бы предлагать и крупные хостеры

вы имеете в виду школьный звонок или ещё что-то? потому что крупные хостеры уже давно предлагают весьма широкий набор услуг по физической защите серверов: охрана 24/7, пожаротушение, опечатанные и закрытые на второй замок стойки, ключи от которого есть только у заказчик, удалённые "ключницы" для систем аппаратного шифрования, находящиеся за пределами здания, где стоит основное оборудование.

Вы про колокейшн, которому сто лет в обед?

Да, колокейшн с датчиком поднятия и с нейротоксином. Вы настолько серьёзно восприняли первоапрельскую статью?

Очень даже интересно) Не факт что будет применено, но интересно и подробно)

Нож спецназовца из группы захвата делает чик-чик уху. Всегда очень интересно почитать как извращаются с безопасностью в тех или иных местах, но сколько живу, все истории заканчивались терморектальным криптоанализом.

Как он поможет, если пароль неизвестен тому, кого пытают?

Сдаст того, кто потенциально может знать пароль, например.

По хорошему, такого человека вообще не должно быть в природе, ключ должен быть разделен на несколько частей и носители частей не должны знать друг друга. Желательно они вообще не должны знать что владеют каким-то ключом.

Да, все так. Ещё существует набор технических решений для борьбы с "терморектальным криптоанализом". Но эта тема тянет на отдельную статью :)

Есть подозрение, что залитая эпоксидкой малинка выполнила бы примерно ту же функцию за меньшее количество усилий.

А про запрос пароля на загрузку через сеть,где можно почитать?

В одно время у нас заказывали системники со специальными датчиками перемещения, которые подключались параллельно обычным Chassis Intrusion. На датчиках были MPU6050 и какой то контроллер, скорее всего какая то тинька.
По мне так это более элегантное решение, но не для ноутбуков.

Могу рекомендовать элегантное решение для ноутбуков: модели-трансформеры со встроенным акселерометром.

Любопытный подход. Скажите, а порт для внешнего дисплея и оставшийся порт USB остались в рабочем состоянии, или вы их уничтожили?

их достаточно было отключить в биосе

Один из внешних USB перепаян и работает. На Thinkpad можно отключать в биосе USB порты по выбору?

К сожалению, выборочно отключить нельзя. Если бы мне хватило ума использовать USB с материнской платы, я бы выключил внешние USB-порты. Я знаю, что включённые USB-порты потенциально могут служить источником эксплуатации уязвимостей.

У меня есть идеи для использования портов в будущем, но об этом во второй части, если она когда-нибудь выйдет :)

Алё, полиция? Мы тут чей-то ноутбук переставить хотели, он мешался, а у него снизу кнопка какая-то и провода видны внутри. Мы его тут же положили на место, выбежали из здания и позвонили вам.

Судя по вводной части "Если система загружена, то ключи шифрования разделов хранятся в оперативной памяти и, теоретически, при физическом доступе можно считать эти ключи из модуля памяти напрямую." вы хотите защититься от атаки вроде cold boot

В принципе, нужно понимать что для реализации такого типа атак ноутбук скорее зальют жидким азотом целиком и потом будут уже разбираться, что там за дополнительные провода из него торчат. Конечно, в голову приходит и решение такой задачи, датчик низкой температуры (не электронный, а на физических принципах, на изменении объема рабочего тела) соединенный с бойком, при понижении температуры накалывает капсюль и несколько десятков граммов Роскомнадзора под модулями оперативной памяти, и залитые азотом вашей инсталляции тоже будет не страшно.

От ColdBoot защитит AMD Secure Memory Encryption (SME) и Intel Total Memory Encryption (TME).

>ssh-сервер в initramfs. Все это хранится в /boot разделе.

Так вам можно initramfs или ядро подменить

Для этого надо эту вундервафлю выключить так чтобы хозяин не заметил и разобрать.

А почему бы не сделать /boot раздел на флешке, которая после загрузки выдёргивается и хранится в безопасном месте?

Я думаю по той же причине почему автор не вводит пароль руками, а через dropbear в initramfs - чтобы можно было ребутать удалённо.

Hidden text

оффтоп: тупой вопрос, если сервис надо перезагружать, может удобнее поднять его на виртуалке ?

В старых ThinkPad уже есть акселерометр, для парковки HDD при падении ноутбука. Надо только разобраться как его читать.

А Aeza - скамеры, они вам заблокируют аккаунт как только пополните его на заметную сумму. Почитайте о них отзывы перед тем как там что-то заказывать.

НЛО прилетело и опубликовало эту надпись здесь

Если система уже загружена и есть физический доступ к компьютеру, разве не проще слить все нужные данные, чем искать ключи в оперативной памяти?

Для того чтобы слить данные нужно получить доступ к консоли сервера. Если делать это через TTY то нужен логин+пароль, которые не известны взломщику. Более того, для того чтобы войти через TTY то нужно либо открыть крышку ноутбука и будет отправлено админу уведомление об этом, либо вставить USB клавиатуру, которую тоже можно задетектить. Если делать это через ssh, то нужен ssh ключ и логин, которые тоже не известны.

Я правильно понимаю, что для поиска ключей в оперативной памяти ничего из описанного вами не нужно, поэтому путь поиска ключей в памяти легче?

Вообще возможны 2 сценария. Cold boot атака, которую описывали выше, она позволит вытащить ключи из оперативной памяти. Либо замена initramfs образа, позволит при перезагрузке во время ввода пароля перехватить его, после чего уже можно будет расшифровать диск. Но вообще ни первый вариант ни второй не прост :)

Первый вариант позволит вытащить ключи и спереть комп, для дальнейшей расшифровки и анализа, но он очень трудновыполним и результат не гарантирован.

А второй вариант проще в реализации, но его нельзя реализовать так, чтобы система защиты не сработала.

Добавлю свои 5 копеек. Ноутбучный сервер лучше завернуть в большую синтетическую салфетку, главное чтоб материал пропускал воздух. Края ввода витой пары и питания пройти скотчем. На скотч можно пломбу бумажную налепить. Вот тебе и защита от пыли, и доступ физический будет затруднен. А менять кокон-салфетку раз в полгода проще, чем разбирать ноут и чистить вентилятор.

И по питанию. При работе 24/7 кондеры в БП сохнут тока в путь, т.к. он постоянно горячий, поэтому имеет смысл либо сделать перфорацию в пластике оригинального блока, для лучшего охлаждения, или поставить мощный БП от светодиодной ленты, там обычно рассчитано на постоянную работу и стоят хорошие рассеиватели тепла.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий