Festplatte Verschlüsseln
- Thread starter Massimo
- Start date
Hier zwei Links zur Linux-Festplatten-Verschlüsselung:
http://sourceforge.net/projects/loop-aes/
http://sman.informatik.htw-dresden.de/doc/manual.9.2/suselinux-adminguide_de/html/ch27s03.html
http://sourceforge.net/projects/loop-aes/
http://sman.informatik.htw-dresden.de/doc/manual.9.2/suselinux-adminguide_de/html/ch27s03.html
HornOx
Registered User
Macht IMHO keinen Sinn. Wenn der Server gehackt wird nützt das nichts weil dann die Festplatte normalerweise schon gemountet ist und somit passwortloser Zugriff möglich ist. Wenn du Angst hast das irgendwer im Rechenzetrum in dem dein Server steht die Festplatte ausbaut bringt das auch nicht viel, notfalls läßt er deinen Server neu starten und macht eine Man in the Middle Atacke um an dein Passwort zu kommen.
Dann mußt du halt jedes mal wenn dein Server neu startet per serieller Console dein Passwort eingeben was vermutlich zu unnötig langen Downtimes führt.
man könnte jedoch auch nen script schreiben was bei einer bestimmten anzahl von fehlgeschlagenen loginversuchen innerhalb einer bestimmten zeit einfach die Partitionen unmountet ... und dann können die hacken was sie wollen , auf crypted-filesystems kommen die dann nichtmehr drauf...
HornOx
Registered User
Super Idee
. Immer wenn ein Script Kiddy zufällig auf die IP deines Servers kommt ist der dann nicht mehr erreichbar und du darfst die Startpartition dann neu einrichten (oder du gibst dein Passwort einem potenziell korumpiertem System preis). Da die meisten erfolgreichen Hacks auf Webserver vermutlich durch irgendwelche Sicherheitslücken von php Scripten oder ähnlichem Beruhen und dabei ganz auf Loginversuche verzichtet wird ist die zusätzliche Sicherheit minimal.
. Immer wenn ein Script Kiddy zufällig auf die IP deines Servers kommt ist der dann nicht mehr erreichbar und du darfst die Startpartition dann neu einrichten (oder du gibst dein Passwort einem potenziell korumpiertem System preis). Da die meisten erfolgreichen Hacks auf Webserver vermutlich durch irgendwelche Sicherheitslücken von php Scripten oder ähnlichem Beruhen und dabei ganz auf Loginversuche verzichtet wird ist die zusätzliche Sicherheit minimal.
Cyberchriss
Registered User
Naja - wenn ich davon ausgehe, dass er eine verwschlüsselte Datenpartition hat, die er manuell einhängt, dann hilft einem Servicetechniker im RZ auch kein ergaunerter root-account. Natürlich sollt der Schlüssel nicht lokal abgelegt sein *g*
Gegen erfolgreiche Angriffe auf ein laufendes System bringt Verschlüsselung natürlich nix
Gegen erfolgreiche Angriffe auf ein laufendes System bringt Verschlüsselung natürlich nix
HornOx
Registered User
Doch, der kann dann ein Kernel Modul installieren das beim nächsten manuellen mounten das Passwort an ihn schickt.
Der einzigste Fall bei eine verschlüsselte Server Festplatte Sinn machen würde wäre wenn illegale Dinge drauf gespeichert sind. Wenn der Server von der Polizei beschlagnahmt wird wird er notwendigerweise runtergefahren und man sollte schneller von der Beschlagnahmung erfahren als das die Polizei eine Falle (also ein korumpiertes System das das Passwort beim manuellen mounten protokoliert) aufbaut.
Cyberchriss
Registered User
Oki das ist natürlich ein Argument. *g*