1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.GERMAN

  • Re: =?utf-8?Q?Wie_Festplatte_versch?= =?utf-8?Q?l=C3=BCsseln_f=C3=BCr_H

    From Marc Haber@21:1/5 to matthias.boettcher@gmail.com on Sun Oct 13 10:40:02 2024
    On Sat, 12 Oct 2024 19:22:59 +0200, Matthias Böttcher <matthias.boettcher@gmail.com> wrote:
    Hallo an alle,

    ich stelle mal eine Frage in die Runde, da ich mir unsicher bin, wie ich
    die bekannten Technologien miteinander kombiniere. Gegeben ist ein Mini-PC >mit Prozessor Intel N100, der mit Debian im Dauerbetrieb zu Hause laufen >soll. Dienste sind hauptsächlich Apache HTTP Server und MariaDB. Bis dahin >unkompliziert - Trimming, LVM, php-fpm, ssh mit PubkeyAuthentication sowie >Backup mit borg auf einen externen Borg-Server sind mir vertraut.
    Betrieben wird das Gerät Headless.

    Mein Threat-Modell: Schutz der Vertraulichkeit bei Einbruch und Diebstahl
    des Gerätes sowie später unbesorgte Entsorgung der SSD bei Defekt.
    Meine Anforderung daher: LUKS für die Festplattenverschlüsselung.

    Die unbesorgte Entsorgung der SSD ist einfach zu bekommen: Keyfile auf
    einen USB-Stick. Damit geht sogar das automatische Aufschließen des
    Systems beim Neustart.

    Schützt halt nicht gegen Einbruch weil der Einbrecher den Stick mit an Sicherheit grenzender Wahrscheinlichkeit mitklaut und der Rechner am
    neuen Standort genau so bootenw wird wie bei Dir daheim. Das geht
    nicht ohne einen manuellen Eingriff. Es gibt diverse Methoden, den
    Rechner schon in der initramfs-Phase per ssh erreichbar zu machen.

    Oder Du baust den Rechner so, dass das System von unverschlüsseltem
    Root FS bootet und Du dich dann per ssh einloggst und die
    Partitionen/Volumes mit den vertraulichen Daten manuell aufschließt.
    Mit systemd ist es sogar machbar, dass die Dienste automatisch
    nachstarten sobald deren Daten erreichbar sind. Trojanisierung des
    Systems ist ja nicht Bestandteil Deines Threatmodells.


    Wie würdet ihr das einrichten? Folgende Ideen gehen mir duch den Kopf:
    - Festplatte komplett verschlüsseln? Wie dann aber "aufschließen"?
    Im Headless-Betrieb schwierig.
    Clevis und Tang werden dafür genannt, aber das erscheint mir zu komplex
    und damit zu störanfällig.

    Irgend einen Tod muss man sterben. Den Systemboot macht man wenigstens
    oft genug dass man Übung darin hat.

    - Bestimmte Daemons (Service-Units für php-fpm und mariadb) nicht
    automatisch starten, Volumes (LVs) mit zugehörigen Daten nach dem
    Neustart des Debian "von Hand" (mit Script und Login per ssh) aufschließen
    und mounten mittels Login per ssh, dann die Units starten.

    Oder so.

    Grüße
    Marc
    --
    ---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
    Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Ulf Volmer@21:1/5 to All on Sun Oct 13 15:00:01 2024
    Am 13.10.24 um 11:40 AM schrieb Christoph:

    Aber ich habe gelesen, daß es USB-Sticks für
    solche Schlüssel gibt, welche erfordern noch
    einen symmetrischen Zugangscode per Tasten auf
    dem Stick einzugeben. Wenn der Dieb nun die
    Kiste mit dem Stick zu sich nach Hause bringt,
    muß er wohl das System neu booten und dazu
    braucht er eben den Code. Auf jeden Fall würde
    ich vermuten, daß so ein (nicht ganz billiger)
    Stick blockiert, bevor alle Kombinationen
    durchprobiert wurden.

    Ich fände es interessant, ob dieser Einwand
    Sinn macht. Vielleicht hat jemand Erfahrung?

    Das Senzario kann man mit einem FIDO2 tauglichen yubikey (o.ä.) abbilden.

    Viele Grüße
    Ulf

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)