J'installe de nouveaux serveurs Ubuntu et j'aimerais sécuriser les données qu'ils contiennent contre le vol. Le modèle de menace est des attaquants désirant le matériel ou plutôt des attaquants naïfs désirant les données.
Veuillez prendre note de cette section.
Le modèle de menace n'inclut pas les attaquants intelligents désirant les données; Je suppose qu'ils feront une ou plusieurs des actions suivantes:
Raccordez un onduleur à un câble d'alimentation afin de faire fonctionner la machine en continu.
Insérez une paire de ponts Ethernet entre l'ordinateur et le point de terminaison réseau qui reliera le trafic sur un réseau sans fil de portée suffisante pour que l'hôte maintienne la connectivité réseau.
Ouvrez la boîte et utilisez une sonde sur le bus mémoire pour saisir des trucs intéressants.
Utilisez des périphériques TEMPEST pour sonder ce que fait l'hôte.
Utiliser des moyens légaux (comme une ordonnance d'un tribunal) pour m'obliger à divulguer les données
Etc.
Donc, ce que je veux, c'est avoir une partie, ou idéalement la totalité, des données sur le disque sur une partition cryptée, avec le matériel clé nécessaire pour y accéder sur un support externe quelconque. Deux méthodes auxquelles je peux penser pour stocker le matériel clé sont:
Stockez-le sur un hôte distant accessible via le réseau et configurez suffisamment de réseau pour le récupérer pendant le processus de démarrage. La récupération serait autorisée uniquement à l'adresse IP attribuée à l'hôte sécurisé (ne permettant donc pas l'accès aux données chiffrées si elles étaient démarrées sur une autre connexion réseau) et pourrait être désactivée par les administrateurs si la machine était découverte comme étant volée.
Stockez-le sur un périphérique de stockage USB qui est en quelque sorte beaucoup plus difficile à voler que l'hôte lui-même. Le localiser à distance de l'hôte, comme au bout d'un câble USB de cinq mètres menant dans un autre coin de la pièce, ou même dans une autre pièce, réduirait probablement considérablement les chances des attaquants de le prendre. Le sécuriser d'une manière ou d'une autre, par exemple en le chaînant à quelque chose d'immobile, ou même en le mettant dans un coffre-fort, fonctionnerait encore mieux.
Alors, quelles sont mes options pour configurer cela? Comme je l'ai déjà dit, je préférerais que tout (à part peut-être une petite partition de démarrage qui ne contient pas / etc) soit crypté, de sorte que je n'ai pas à me soucier de l'endroit où je place les fichiers, ou de l'endroit où ils ' re atterrissage accidentel.
Nous utilisons Ubuntu 9.04, si cela fait une différence.