LINUX.ORG.RU

Как шифровать жесткие диски на домашнем сервере.


0

1

В связи с обновлением софта и добавление винтом возникло желание зашифровать жесткие диски на сервере. Но сразу же возникает вопрос: что делать, если сервер перезагрузится. Это же надо будет «вручную» вводить пароль. А если пароль будет «рядом» с сервером, то смысла от него не будет.

И за одно узнать бы, насколько селерон 2.4 гц более 5 летней давности справится с 100 мБайт в сек

★★★★
Ответ на: комментарий от Vit

Если он будет ходить в инет, то тот, кто его стащит, тоже может сходить.

а так да, uptime в 4 месяца вполне снимет проблему паролей. только вот все же кажется, что заморачиваться долго сейчас этим.

namezys ★★★★
() автор топика

Есть несколько вариантов:

1) Если есть IP KVM то можно использовать любое полное шифрование диска(хоть «желзное» или программное). Например mandos (https://wiki.recompile.se/wiki/Mandos).

2) Использовать виртуализацию и шифровать уже гостя.

3) Если хочешь шифровать уже настроенный сервер, то лучше всего шифровать логический раздел с помощью LUKS.

В любом случае(даже 1), 2)) у тебя будет по крайней мере не зашифровано: mbr, initrd и ядро. Это значит, что всё это дело можно будет протроянить.

А если пароль будет «рядом» с сервером, то смысла от него не будет.

Mandos тут может помочь, но для него нужен отдельный mandos server. Клиент и сервер обмениваются парай ключей через ssl соединение(все находится в initrd). Если сервер не отвечает или клиент не ответил на запрос серверу за определённый отрезок времени, то сервер будет игнорировать все будущие сигналы клиента для этой пары ключей и зашифрованный клиент превратится в кирпич. Т.е. если кто-то с физическим доступом к серверу отредактирует initrd и перезагрузит сервер сделав это недостаточно быстро доступа к зашифрованной информации не получит.

hope13 ★★★
()
Последнее исправление: hope13 (всего исправлений: 1)

И за одно узнать бы, насколько селерон 2.4 гц более 5 летней давности справится с 100 мБайт в сек

если речь идет про скорость чтения с диска то примерно от 20 до 40МБ/сек дешифровка AES/dm-crypt, может 50 если только 1 поток.

Umberto ★☆
()

dropbear в initrd и никаких проблем :)

pekmop1024 ★★★★★
()
Ответ на: комментарий от namezys

Предполагается, что интеренеты, в отличие от компа, не стащат. Поэтому пароль там можно будет похерить или что-то еще удаленно с ним сделать.

Vit ★★★★★
()
Ответ на: комментарий от namezys

привязку по IP никто не отменял.

Vit ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.