Comments 16
Зачем под систему SSD, если всё реально запускается и работает из контейнеров на HDD? — выкинутые деньги.
- Дело не в том, чтобы просто включать, а в том, чтобы вводить ключ для расшифрования дисков. Тут WoL уже недостаточно. Если бы этого не требовалось, даже WoL был бы не нужен: достаточно было бы установить в управлении питанием восстановление к прежнему состоянию, и система запускалась бы при появлении питания автоматически (ИБП будет выжидать некоторое время перед подачей питания, чтобы определить, что оно стабильно).
- Во-первых, размещать систему управляющую хранилищем, на дисках хранилища нельзя (контейнеры с этой точки зрения не являются компонентами ОС, это данные), т.е. под систему нужен отдельный носитель. Во-вторых SSD нужен прежде всего для выноса на него SLOG и кэшей, а так как на нём остаётся достаточно места, туда возможно разместить систему, не устанавливая отдельный носитель под неё.
При необходимости я по vpn подключаюсь к роутеру, оттуда web морду ilo и оттуда уже получаю доступ в окошке к «экрану» — можно даже в биос попасть.
Дело не в том, чтобы просто включать, а в том, чтобы вводить ключ для расшифрования дисков.
Почему вы не рассматриваете ввод ключа шифрования через SSH? Включите в initramfs SSH-сервер, dropbear или OpenSSH, и вводите пароль. Модули для этого есть и для initramfs-tools (Debian, Ubuntu), и dracut (CentOS, Fedora).
Если вы опасаетесь за сохранность данных только когда сервер выключен, то вы можете хранить ключ шифрования в Trusted Platform Module (TPM). Вы упомянули доверенную загрузку, но, видимо, ошиблись — имели в виду Secure Boot, а не Trusted Boot.
Про SSH.
Да я просто не думал о таком варианте. За полезную идею большое спасибо. Сейчас посмотрел, это в Debian уже даже кто-то делал, и всё описано.
Надо подумать, какие с этим могут быть проблемы, но мне кажется, что это намного безопаснее, чем открывать доступ снаружи к IPMI и проще (ну и удобнее), чем поднимать VPN на роутере.
Про доверенную загрузку.
В принципе, использование Secure Boot даёт некоторое повышение уровня безопасности: пропатчить ядро на диске так, чтобы это прошло незамеченным, с ним проблематично для некоторых классов нарушителей.
Но я имел ввиду именно доверенную загрузку, то что в моём случае реализовано в виде Intel TXT.
Если вы посмотрите спецификацию к плате, то увидите, что TPM и TXT поддерживаются.
Другое дело, что на практике я пока это не использую и TPM нет.
Ну и могу ли я реально хранить ключ в TPM, снова зависит от модели нарушителя.
Прочитайте мою статью про взлом автоматов Namco System ES1, я немного писал про доверенную загрузку: habr.com/post/304014
См. комментарий выше. Запустится, но остановится на вводе ключа. Предупреждая вопрос:
- Возможно вводить только ключи расшифрования томов, и тогда система загрузится, но это увеличивает "поверхность атаки".
- Возможно хранить ключ вместе с системой, но это имеет мало смысла.
В случае длительного отключения питания (более 40 минут), систему придётся включать вручную,
Так UPS для этого придумали. Из самого бюджетного — Inelt Monolith, несколько промышленных гелевых аккумуляторов и можно получить 1-2 часа и более.
Чтобы это преодолеть, есть возможность вывести в Интернет интерфейс к IPMI,
apt install dropbear-initramfs
Проектирование программной платформы защищённого NAS