我正在为客户设置远程服务器,他们的主要要求是将启动分区以外的数据加密。主系统将位于主驱动器上的 dm-crypt LUKS 容器中,但由于在清除启动分区的情况下内核可能会被恶意替换以捕获密钥,因此它也需要保护。
为了消除这种担忧,我能想到的唯一选择是使用内置硬件加密的驱动器并通过 IPMI 接口远程解锁。这样做的麻烦在于,每月费用的预算已经为一个 IP 地址批准,这意味着没有办法轻松连接到 IPMI 接口,除非进行昂贵的物理访问,或者与项目经理进行更昂贵的会谈以增加几美元的预算。
我希望找到一个驱动器解决方案,其中包括一个可以启动的固件,通过 SSH 或 HTTPS 连接,解锁加密数据并链式加载引导加载程序,该加载程序将包括一个将主 LUKS 阵列加载为根分区的内核。接口可以是 USB 或 SATA,甚至是 PCI-E。
我愿意接受其他建议,因为这是我自己能想出的唯一可行的选择;我只是找不到任何类似的解决方案,或者可以搜索的术语。
答案1
我认为迈克尔的答案是正确的。我完全理解你的意思,但这不是你的工作假设客户的愚蠢——大多数客户自己都有足够的愚蠢。推荐正确的东西,让他们以成本为由拒绝。保留书面记录。
然后,如果他们坚持零成本选项,您可以考虑使用tripwire该安全分区来检查系统完整性立即地分区解锁后。您可以放心二进制tripwire文件和签名文件,因为它们位于加密分区上。有了这些,您就可以放心未加密分区的内容以及其中的内核和库。
它并不完美,但比不检查未加密的分区要安全得多;如果真的出了问题,你会给他们提供做得更好的机会,但却遭到拒绝。