Moin,
Am Sat, Oct 12, 2024 at 07:58:02PM +0200 schrieb Marco Moock:
Am 12.10.2024 um 19:22:59 Uhr schrieb Matthias Böttcher:
ich stelle mal eine Frage in die Runde, da ich mir unsicher bin, wie
ich die bekannten Technologien miteinander kombiniere. Gegeben ist
ein Mini-PC mit Prozessor Intel N100, der mit Debian im Dauerbetrieb
zu Hause laufen soll. Dienste sind hauptsächlich Apache HTTP Server
und MariaDB. Bis dahin unkompliziert - Trimming, LVM, php-fpm, ssh
mit PubkeyAuthentication sowie Backup mit borg auf einen externen Borg-Server sind mir vertraut. Betrieben wird das Gerät Headless.
Mein Threat-Modell: Schutz der Vertraulichkeit bei Einbruch und
Diebstahl des Gerätes sowie später unbesorgte Entsorgung der SSD bei Defekt. Meine Anforderung daher: LUKS für die
Festplattenverschlüsselung.
Wie würdet ihr das einrichten? Folgende Ideen gehen mir duch den Kopf:
- Festplatte komplett verschlüsseln? Wie dann aber "aufschließen"?
Im Headless-Betrieb schwierig.
Geht eingeschränkt (z.B. nach meinem Kenntnisstand aktuell nicht mit
IPv6, mehrere Platten nicht getestet) mit dropbear im initramfs.
Ist unter Debian sogar vergleichsweise einfach einzurichten, Paket 'dropbear-initramfs' [1] installieren, nach Dokumentation einrichten.
Hab ich hier auf einem headless Homeserver mit Xen so laufen. Mit dem
dropbear wird das rootfs vom Xen host (bzw. das LVM PV und damit die
komplette VG inkl. root LV) aufgemacht. Die Daten liegen dann auf
'nem separat verschlüsselten RAID, das wird hier alles von einem
custom script aufgemacht und danach die virtuellen Maschinen
gestartet. Dieses Skript wird von mir manuell gestartet, sobald das Host-System hochgelaufen ist. Bisschen umständlich, aber so oft muss
man ja nicht neu booten.
Das lässt sich logischerweise auch alles so einrichten, dass es von
remote funktioniert, muss man halt alles einmal durchspielen inkl.
Erstellung der nötigen SSH keys etc. Hab ich aber auch nicht headless eingerichtet, zu dem Zweck hab ich die Hardware aus der Ecke gekramt
und Monitor und Tastatur dran gehabt. ;-)
Clevis und Tang werden dafür genannt, aber das erscheint mir zu
komplex und damit zu störanfällig.
- Bestimmte Daemons (Service-Units für php-fpm und mariadb) nicht
automatisch starten, Volumes (LVs) mit zugehörigen Daten nach dem
Neustart des Debian "von Hand" (mit Script und Login per ssh) aufschließen und mounten mittels Login per ssh, dann die Units
starten.
Wäre auch ne Option. Beachte aber, dass so Sachen wie Logs oder /tmp
auch noch existieren.
Wenn die Services alle in Containern oder virtuellen Maschinen laufen,
stelle ich es mir ein bisschen einfacher vor mit dem Volumen
Management, aber im Grunde ja.
Grüße
Alex
[1]
https://packages.debian.org/bookworm/dropbear-initramfs
--
/"\ ASCII RIBBON | »With the first link, the chain is forged. The first
\ / CAMPAIGN | speech censured, the first thought forbidden, the
X AGAINST | first freedom denied, chains us all irrevocably.«
/ \ HTML MAIL | (Jean-Luc Picard, quoting Judge Aaron Satie)
-----BEGIN PGP SIGNATURE-----
iQIzBAABCAAdFiEEwo7muQJjlc+Prwj6NK3NAHIhXMYFAmcfUvYACgkQNK3NAHIh XMYoXRAAvCAr0Ske0i0SPoRQV7u9U58iG7gItgWdsGOa+LJBCrdti4lVSoonMimP MxGo8j1zWaTQB49FA0fHdb2mvWWgdbo0ghtepk4CIuhFjOJM175BitBJdZ2+MaS/ aUjj5R7Q2Q8VXl91mGuc2vvkh1xordEgTEgfxTZjOb8pUrInHSEPPeL5fg6MAgSf 2T1ER7CJw3eoAGwEOP0A1c4nmQhkCn0KFJMOxgSU2VFnDrYBsL8MG6R8UDBOonBq c8c0ABF5XbfQmeeW2jGWcmlCYLMc76hKaQes8tKf4DUVutAE635HTbPcsDmK14Zm Z1pJr37T5K3zUAUMBNxSGFtlRJ2e3TS5rSerrBpagh8TsN+Tqd5erNnvOZrbLsU+ pUlL3LjRYqFl1jPmTy4XsoB02jZJOlDOu1Mzy7TnHi2KwLDB0N4eUemsKSUZ+iKK hXl12ma5kIAMUE3NZI7/2LIdr6bX648zPpNQHeYKT2Q5hMfCFgrryGgqTFa8FQwN v+7N9fHqKm7fAlUWj06yb3Th/U2qxEPTFXhgBTTX1q0t3R28dZBW99Ig/0QLnag4 p6aKXwxfv3hgkmlpQcsecZMDzmPOXBlJIPiV2slnuShdNB