Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2021-08-10 15:45:45

  wobo - Użytkownik

wobo
Użytkownik
Skąd: Warszawa
Zarejestrowany: 2013-10-16

Zdalne wprowadzanie hasła do LUKS przez SSH dropbear-initramfs

Cześć Społeczność :)

Będę niedługo konfigurował sobie nowy system, pełniący rolę routera z kilkoma dodatkowymi usługami, oparty na Debianie.
Typowa mała pasywna maszynka box PC z dwoma kartami sieciowymi.
Będę chciał zastosować szyfrowany LVM.

System będzie wykorzystywał jedynie  kilka usług, jak np:
pppoe
nftables z regułami nat, i innymi
fail2ban
sieć skonfigurowana w oparciu o  systemd-networkd
isc-dhcp-server

oraz wrażliwe dane czyli serwer openvpn, openssl i easy-rsa w oparciu o certyfikaty

Skonfiguruję szyfrowany LVM w wersji domyślnej, czyli bez zabezpieczania /boot (wyniesienie poza system), 
bo uważam, że tyle wystarczy jako podstawowe zabezpieczenie przed włamaniem i kradzieżą sprzętu.
A w razie kradzieży i tak będzie trzeba unieważnić klucze z systemu i wygenerować nowy klucz prywatny.
A o służby się nie martwię :)


Teraz do rzeczy, przepraszam za przydługi wstęp...

Jak wiadomo każdy Linux czasem potrzebuje restartu, np po aktualizacji jądra itd.
A jak wiadomo po restarcie systemu szyfrowanego mamy konieczność lokalnego wprowadzenia hasła do cryptsetup luksOpen i może to być utrudnione w maszynie  bez monitora lub jeśli nie jestem na miejscu.

I tutaj znalazłem rozwiązanie, które chciałbym wdrożyć, czyli dropbear-initramfs czyli mały server/client SSH
Poniżej link do znalezionego i przetłumaczonego maszynowo poradnika
https://translate.google.com/translate?sl=en&tl … ing-dropbear/

Zaznaczę, że techniczne kwestie instalacyjne z ww. poradnika są dla mnie jasne.

Mam tylko kilka ogólnych pytań do osób obeznanych z tym rozwiązaniem:
1. Ogólnie czy warto to stosować lub może jest inne lepsze / nowocześniejsze rozwiązanie?
2. Jak kwestie bezpieczeństwa np przez konieczność dodania klucza prywatnego do dropbear?
3. Czy ktoś z Was z tego korzysta?
Jak to się sprawuje? Bo widzę po przeczytaniu poradnika, że za każdym razem trzeba na nowo akceptować nowe klucze, tak jak przy pierwszym połączeniu.

Może jakieś inne sugestie? Może inny poradnik?

Z góry dzięki za odpowiedzi i poświęcony czas.

Ostatnio edytowany przez wobo (2021-08-10 15:51:05)

Offline

 

#2  2021-08-10 18:43:13

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Zdalne wprowadzanie hasła do LUKS przez SSH dropbear-initramfs

Jeśli dobrze to rozumiem, to na maszynie zdalnej z zaszyfrowanym dyskiem w fazie initramfs/initrd zostanie uruchomiony dropbear (server ssh). Na tym zdalnym hoście zostanie też skonfigurowana sieć bez jakiegokolwiek filtra pakietów. Potem zdalna maszyna po jakimś czasie swojej pracy jest resetowana i wyskakuje prompt by wpisać hasło do odszyfrowania dysku. A potem user się loguje po ssh i wpisuje hasło i system się uruchamia. Tak to ma działać? xD Jeśli tak, to to rozwiązanie jest trochę pozbawione sensu. Pomijając już aspekt braku FW z uruchomionym ssh na root, załóżmy, że ktoś ci ten serwerek odwiedzi, np. policja -- w jaki sposób zweryfikujesz, że hasło, które wpisujesz na swojej lokalnej końcówce nie zostanie przez nich przechwycone na tej zdalnej maszynie w procesie otwierania kontenera? Jeśli będą mieć dostęp do maszyny, to będą mieć dostęp do niezaszyfrowanego /boot/ , a więc i całej konfiguracji initramfs/initrd i będą mogli w dowolny sposób manipulować plikami i to hasło bez większego problemu wyciągnąć. Czy coś przeoczyłem? xD

Offline

 

#3  2021-08-11 15:45:51

  wobo - Użytkownik

wobo
Użytkownik
Skąd: Warszawa
Zarejestrowany: 2013-10-16

Re: Zdalne wprowadzanie hasła do LUKS przez SSH dropbear-initramfs

Morfik, dzięki za odpowiedź


Jeśli dobrze to rozumiem, to na maszynie zdalnej z zaszyfrowanym dyskiem w fazie initramfs/initrd zostanie uruchomiony dropbear (server ssh).

Taki miałem plan ale tylko w fazie initramfs, do wprowadzenia hasła szyfrowania
Później teoretycznie wystartuje nftables na normalnym hoście i zapoda reguły filtrujące itd

A potem user się loguje po ssh i wpisuje hasło i system się uruchamia. Tak to ma działać? xD Jeśli tak, to to rozwiązanie jest trochę pozbawione sensu. Pomijając już aspekt braku FW z uruchomionym ssh na root

Pełna zgodna, czasem trzeba spojrzeć z boku :)

w jaki sposób zweryfikujesz, że hasło, które wpisujesz na swojej lokalnej końcówce nie zostanie przez nich przechwycone na tej zdalnej maszynie w procesie otwierania kontenera?

Zgadzam się, że mając dostęp do /boot, tak naprawdę nie mam kontroli i pełnego zabezpieczenia, i szyfrowanie też można obejść

I trafny argument, że po resecie nie mam pewności gdzie wpisuję hasło, czy na moim sprzęcie czy podstawionym.
Ale taki przypadek jest możliwy jedynie w momencie fizycznego dostępu do sprzętu przez osoby niepowołane, i można założyć, że w przypadku kiedy, po próbie połączenia user@host mam prośbę o hasło szyfrowania dysku, jest to sytuacja niejednoznaczna, czyli nie mam pewności czy restart wystąpił samoczynnie, czy jest to podstawiony sprzęt.

załóżmy, że ktoś ci ten serwerek odwiedzi, np. policja

Faktycznie bra sensu. Dzięki
Nie mam tam specjalnych danych, ale "licho nie śpi"

Czyli morfik
Jednym słowem dałeś mi do myślenia, i chyba się nie zdecyduję na zdalne odszyfrowywanie.
Pozostanę przy klasycznej metodzie z niedogodnościami, że po nieprzewidzianym restarcie będę musiał wprowadzać hasło osobiście, jak dotąd.

Offline

 

#4  2021-08-12 01:35:55

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Zdalne wprowadzanie hasła do LUKS przez SSH dropbear-initramfs

Z tym wpisywaniem hasła osobiście, to prawie tak jak zdalnie. xD Jak nie masz maszyny na oku, to ktoś pod twoją nieobecność może ci tam coś podmienić. Więc to jest dokładnie taki sam scenariusz jak wyżej. xD Póki co na takie zdalne otwieranie kontenerów jest chyba za wcześnie -- jest niepełny secure boot na EFI, niedorobiony kernel lockdown, niedorozwinięty TPM. xD Jakby dziury w tych "zabezpieczeniach" porównać z serem szwajcarskim, to byśmy mieli pusty talerz. xD Gdy to ogarną to pewnie zdalnie będzie można bezpiecznie kompa odszyfrować ale obecnie moim zdaniem jest to pozbawione sensu i lepiej się w to nie pchać

Ostatnio edytowany przez morfik (2021-08-12 01:37:22)

Offline

 

#5  2021-08-12 09:56:31

  wobo - Użytkownik

wobo
Użytkownik
Skąd: Warszawa
Zarejestrowany: 2013-10-16

Re: Zdalne wprowadzanie hasła do LUKS przez SSH dropbear-initramfs

Z tym wpisywaniem hasła osobiście, to prawie tak jak zdalnie. xD Jak nie masz maszyny na oku, to ktoś pod twoją nieobecność może ci tam coś podmienić

Pełna zgoda.
Ale moją akurat mam na oku i pod alarmem, więc lokalnie zagrożenia są małe :)
Ale w sumie natchnąłeś mnie, mógłbym jeszcze po nieautoryzowanym otwarciu szafy wyzwalać z alarmu naciśniecie przycisku zasilania, co powodowałoby zamknięcie systemu.
Wtedy nic nie namieszają intruzi nie mając /boot-a
Trzeba pomyśleć...

Czyli dzięki ogólnie, poczekamy aż się poprawi sytuacja z zabezpieczeniami.

Na szczęście nie mam przypadków jak dotychczas, że mój serwerek łapał "zwisa" lub trzeba by było go restartować w sytuacji innej niż grubsze aktualizacje lub jądra.

Dzięki.
Dla mnie temat zakończony, chyba że masz coś jeszcze do dodania.

Pozdrowienia

Offline

 

#6  2021-08-14 21:15:47

  mati75 - Psuj

mati75
Psuj
Skąd: masz ten towar?
Zarejestrowany: 2010-03-14

Re: Zdalne wprowadzanie hasła do LUKS przez SSH dropbear-initramfs

Ad.1 Nie ma chyba obecnie lepszego rozwiązania albo ja się nie spotkałem. Można coś samemu wymyślić ale dla root partycji będzie ciężko.
Ad.2 Można schować dodatkowo za vpnem https://github.com/r-pufky/wireguard-initramfs
Ad.3 Tak używam, nawet do vpsów.

Z drugiej strony patrząc że ma być to router to szyfrowanie mu dysku nie ma absolutnie żadnego sensu. Nie wiem jak wrażliwe dane musiały by na nim być że ktoś się nimi zainteresował.


https://l0calh0st.pl/obrazki/userbar.png

Offline

 

#7  2021-08-14 23:41:19

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Zdalne wprowadzanie hasła do LUKS przez SSH dropbear-initramfs

Jest ździebko lepsze rozwiązanie, ale trzeba TPM skonfigurować. Wymagane wsparcie maszyny dla TPM 2.0. Mój laptop ma tylko TPM 1.2 i się nie dam rady pobawić tym, więc nie wiem jak skuteczne jest to rozwiązanie. xD

Generalnie to do poczytania tutaj:
https://wiki.archlinux.org/title/Trusted_Platform_M … ion_with_LUKS

I tu jeszcze jest dla systemd:
https://webcache.googleusercontent.com/search?q=cac … t=firefox-b-d

Ostatnio edytowany przez morfik (2021-08-14 23:45:37)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)