Шифрование диска на терминальном сервере

Имеется домашний компьютер с поднятым VNC, включённый 24х7, к которому я регулярно подключаюсь извне дома (не совсем терминальный сервер в корпоративном понимании, но не придумал, как коротко написать в заголовке :-)).

Есть желание полностью зашифровать системный раздел. Но тогда если в моё отсутствие случится сбой электропитания, машина не загрузится — потому что некому будет ввести пароль. И я не смогу подключиться по VNC.

Что делать? Есть какие-нибудь варианты?

Комментарии

—	*Гость* (17/02/2011 05:33) <#>

Наверное, надо было запостить в раздел "Практическая безопасность". Перенесите, если нужно.

—	*Гость* (17/02/2011 15:13) <#>

Есть какие-нибудь варианты?

Грузиться с livecd, нешифрованного (или шифрованного, но другим паролем), потом заходить по сети и самому монтировать разделы на жёстком диске.

—	unknown (17/02/2011 15:33) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

В Linux ядро и загрузчик можно оставить на незашифрованном разделе, а в initrd впихнуть openssh и утилиты, стартующие сеть. В любой системе остаётся риск подмены этого загрузчика на сервере, который не находится под физическим контролем.

—	*Гость* (17/02/2011 19:49) <#>

Пардон, не уточнил, что на компьютере стоит Windows 7. Поэтому загрузиться в голую систему и оттуда монтировать шифрованные разделы не получится (системе уже при старте нужны своп-файл, реестр и т. п., представляющие собой каналы утечки, и которые, следовательно, должны быть зашифрованы).

Придумалась, однако, следующая концепция, которую, правда, не очень понятно, как реализовать:

1. Сделать незашифрованную спартанскую систему, — хоть бы тот же liveсd, — в которой реализовать возможность одноразового ввода пароля к зашифрованной ОС, который будет использован при следующей перезагрузке машины.

2. При загрузке использовать введённый в незашифрованной системе пароль, если он был введён. Если пароль не был введён — ждать ввода, по таймауту грузить нешифрованную систему.

Понятно, что тут создаётся небольшая дырка: если машину украдут после ввода пароля в нешифрованной ОС, но перед перезагрузкой, все данные будут открыты. К счастью, окно тут довольно маленькое.

Но проблема даже не в этом, а в реализации. Нечто похожее есть только в PGP WDE под названием Authenticated Bypass, но эта фича позволяет перезагрузиться только в ту же систему, в которой введён пароль, и предполагает, что перезагрузка происходит по моей инициативе. В TrueCrypt или DiskCryptor ничего похожего не нашёл.

Пат?

—	SATtva (17/02/2011 20:26) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Подозреваю, что под такие нестандартные схемы Вам потребуется нестандартное решение, типа виртуализации винды из-под линукса, который будет отвечать за криптографическую составляющую задачи.

—	*Гость* (17/02/2011 21:47) <#>

Пат?

For whom how :)

—	*Гость* (17/02/2011 21:50) <#>

Неужели задача столь нестандартна? Как мне представлялось, виндовые терминальные сервера, расположенные вне офиса — распространённое явление в корпоративном секторе. Значит, как-то там эта задача решается. Или там не используется полнодисковое шифрование? Это было бы весьма странно.

—	SATtva (17/02/2011 22:05) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Используют, только проблемы полностью автономной перезагрузки обычно не стоит: если сервер и перезапускают, ~~значит, это кому-нибудь нужно~~ админ обычно рядом, чтобы ввести пароль.

—	*Гость* (17/02/2011 22:25) <#>

Неужели задача столь нестандартна? Как мне представлялось, виндовые терминальные сервера, расположенные вне офиса — распространённое явление в корпоративном секторе.

Я знаю, как такая задача решается в high-level-security-системах высокопрофессиональными специалистами. Увы, всё стандартно: загрузчик не шифруется, система грузится как есть, потом на неё заходят по ssh и монтируют диски. Для пущей надёжности каждый раз проверяются хэши от файлов, а программа для проверки хэшей каждый раз грузится на сервер заново. Конечно, это не 100%'ная защита, а троян тут можно встроить прямо в само железо. Если риски вас не устраивают — не храните на таком сервере ничего критичного (для удалённого хранения важной информации существуют криптохранилища поверх стандартных файловых систем, ну хотя бы tahoe, и для полной безопасности там не требуется даже права админа на сервере иметь — всё шифруется до отправки на сервер и расшифровывается после принятия данных с сервера).

—	*Гость* (17/02/2011 22:33) <#>

И ещё: именно в силу озвученного, идеи держать на хостинге свой Tor-клиент или, уж тем более, всю свою пользовательскую информацию я считаю дурным тоном (несмотря на шифрование дисков), а любителей подобного на свете много.

—	*Гость* (18/02/2011 00:59) <#>

Спасибо за ответы.

Видно, придётся идти на поклон к авторам TC или DC. Ведь, в сущности, всё, что мне нужно — это опция "При следующей загрузке единоразово попробовать следующий пароль", а весь остальной функционал уже есть.

—	*Гость* (18/02/2011 21:59) <#>

А всё таки, чем вам не годится шифровать на стороне клиента?

—	*Гость* (19/02/2011 00:43) <#>

Я, собственно, ещё в первом посте написал: терминальный "сервер" — мой домашний компьютер. Большую часть времени я, ясное дело, сижу за ним вживую.

—	*Гость* (19/02/2011 17:14) <#>

идти на поклон к авторам TC или DC

Я кажется знаю, что вам скажет автор DC. Что-то типа: "я не стану ослаблять защищённость, иначе мою программу перестанут воспринимать всерьёз. Код открыт – правьте сами"

—	*Гость* (19/02/2011 17:30) <#>

Что самое интересное, только что, копаясь в архивах, нашёл 4-летней давности коммент автора DC, где он обещает "добавить в туду-лист" возможность иметь программу-загрузчик, запускаемую из-под ОС. То есть практически то, что мне нужно.

Видать, забыл...

Ваша оценка документа [показать результаты]