我想设置一个反取证 Linux 服务器来保护我的用户。
我的目标是让 Linux 发行版及其内部的所有内容都从 RAM 运行,永远不会永久存储任何东西。
最终,我可能需要将选定的内容(例如错误消息或用户反馈)保存到全盘加密硬盘中,以便在它们消失时可以读取它们。但是,其他所有内容都不应写入磁盘。
我对 RAMdisk 了解一点,但不确定如何让所有东西都通过它们运行?任何有关如何操作的帮助或更好的解决方案都欢迎。
答案1
我建议研究一下设备映射器。您可以创建一个包含基本操作系统的只读磁盘设备,然后映射一个 RAM 磁盘(如果您只需要较小的可写层)或一个带有临时密钥的加密磁盘(用于更大的可写空间)可写的覆盖层。使用设备映射器快照创建块设备级覆盖。设置完成后,您需要 chroot 到分区中。
对于更高级的设置,您可能需要从 initramfs 进行上述设置。
或者,您也可以使用 OverlayFS/AUFS 进行文件系统级覆盖。
如果您需要交换,您还需要确保加密您的交换。
您可能还想了解一下 TAILS OS (The Amnesiac Incognito Live System)。
答案2
如果你知道自己在做什么,这不是一件容易的事。从事情听起来,你会遇到困难。
请记住,如果系统断电,您将不得不从头开始重建系统。此外,实际有用的 Linux 安装至少需要约 20Gb 的存储空间。如果您使用压缩的 RAM 磁盘,这会有所帮助(可能将未压缩的要求减半),但它仍然需要大量 RAM。
另一方面,你可以在硬盘上建立一个普通的 Linux 安装,然后使用联合文件系统在基础安装上创建一个可写层(可以是 RAM 磁盘或加密分区的形式)。
答案3
您可以研究进行 PXE 启动并将其直接加载到内存中,这听起来是最简单的。
此链接有 ram boot 和 ram pxe boot 的教程 http://reboot.pro/topic/14547-linux-load-your-root-partition-to-ram-and-boot-it/
http://eduardo-lago.blogspot.com/2012/06/ram-only-pxe-boot-smallest-diskless.html