artiom_n 24 июл 2018 в 07:58

Проектирование программной платформы защищённого NAS

14 мин

19K

Анализ и проектирование систем **nix *Виртуализация *Хранение данных *Хранилища данных *

+14

Комментарии 16

Busla 24 июл 2018 в 12:13

Чтобы включать через инет достаточно Wake on LAN, чуть-чуть шаманства на роутере, чтобы входящий пакет транслировался в широковещательный и всё. Клиенты есть на все платформы, а так же онлайн сервисы для формирования magic-packet.

Зачем под систему SSD, если всё реально запускается и работает из контейнеров на HDD? — выкинутые деньги.

artiom_n 24 июл 2018 в 12:53

Дело не в том, чтобы просто включать, а в том, чтобы вводить ключ для расшифрования дисков. Тут WoL уже недостаточно. Если бы этого не требовалось, даже WoL был бы не нужен: достаточно было бы установить в управлении питанием восстановление к прежнему состоянию, и система запускалась бы при появлении питания автоматически (ИБП будет выжидать некоторое время перед подачей питания, чтобы определить, что оно стабильно).
Во-первых, размещать систему управляющую хранилищем, на дисках хранилища нельзя (контейнеры с этой точки зрения не являются компонентами ОС, это данные), т.е. под систему нужен отдельный носитель. Во-вторых SSD нужен прежде всего для выноса на него SLOG и кэшей, а так как на нём остаётся достаточно места, туда возможно разместить систему, не устанавливая отдельный носитель под неё.

Voenniy 24 июл 2018 в 20:12

У меня hp microserver gen8 с ILO (под него на сервере отдельный интерфейс).
При необходимости я по vpn подключаюсь к роутеру, оттуда web морду ilo и оттуда уже получаю доступ в окошке к «экрану» — можно даже в биос попасть.

artiom_n 24 июл 2018 в 22:15

Примерно тоже самое обеспечивает IME (хотя, возможно, что в HP и есть IME). Просто в конкретном варианте WEB морды консоль на Java, что неудобно. По VPN подключаться, в принципе, — вариант.

ValdikSS 24 июл 2018 в 22:01

Дело не в том, чтобы просто включать, а в том, чтобы вводить ключ для расшифрования дисков.

Почему вы не рассматриваете ввод ключа шифрования через SSH? Включите в initramfs SSH-сервер, dropbear или OpenSSH, и вводите пароль. Модули для этого есть и для initramfs-tools (Debian, Ubuntu), и dracut (CentOS, Fedora).

Если вы опасаетесь за сохранность данных только когда сервер выключен, то вы можете хранить ключ шифрования в Trusted Platform Module (TPM). Вы упомянули доверенную загрузку, но, видимо, ошиблись — имели в виду Secure Boot, а не Trusted Boot.

artiom_n 24 июл 2018 в 22:39

Про SSH.

Да я просто не думал о таком варианте. За полезную идею большое спасибо. Сейчас посмотрел, это в Debian уже даже кто-то делал, и всё описано.
Надо подумать, какие с этим могут быть проблемы, но мне кажется, что это намного безопаснее, чем открывать доступ снаружи к IPMI и проще (ну и удобнее), чем поднимать VPN на роутере.

Про доверенную загрузку.

В принципе, использование Secure Boot даёт некоторое повышение уровня безопасности: пропатчить ядро на диске так, чтобы это прошло незамеченным, с ним проблематично для некоторых классов нарушителей.
Но я имел ввиду именно доверенную загрузку, то что в моём случае реализовано в виде Intel TXT.
Если вы посмотрите спецификацию к плате, то увидите, что TPM и TXT поддерживаются.
Другое дело, что на практике я пока это не использую и TPM нет.
Ну и могу ли я реально хранить ключ в TPM, снова зависит от модели нарушителя.

ValdikSS 24 июл 2018 в 22:47

Доверенная загрузка сама по себе ничего особо не делает. Статичный корень доверия вообще ничего не делает, Intel TXT (в виде tboot) может максимум проверить политику загрузки.

ValdikSS 24 июл 2018 в 23:23

К слову, вам нужен будет еще и процессор с поддержкой TXT. В i3 и части i5 его нет.

artiom_n 24 июл 2018 в 23:40

Xeon E3 с TXT.

artiom_n 24 июл 2018 в 23:37

Да, про tboot я почитал, и не особенно увидел, как в моём случае его применить. Но я так понял, в комбинации с TPM, TXT может проверять подпись ядра. Возможно я ошибаюсь, тогда поправьте.

ValdikSS 24 июл 2018 в 23:47

TXT не работает вне TPM. Для любого способа доверенной загрузки необходим TPM, в этом и суть доверенной загрузки — получить состояние загруженных компонентов в регистрах TPM PCR. Доверенная загрузка, в общем случае, ничего не проверяет самостоятельно и ничего не запрещает исполнять, а нужна для того, чтобы предоставить доступ к каким-либо секретам внутри TPM, или запретить его.

Прочитайте мою статью про взлом автоматов Namco System ES1, я немного писал про доверенную загрузку: habr.com/post/304014

artiom_n 25 июл 2018 в 08:16

Ok, спасибо, почитаю. Буду ещё разбираться с данной темой.

htol 21 авг 2018 в 10:06

TPM должен решать проблему вводу ключа. У меня тоже е3. Использовал LUKS

nikweter 24 июл 2018 в 14:16

А выставить в биосе автозапуск при появлении питания нельзя?

artiom_n 24 июл 2018 в 14:21

См. комментарий выше. Запустится, но остановится на вводе ключа. Предупреждая вопрос:

Возможно вводить только ключи расшифрования томов, и тогда система загрузится, но это увеличивает "поверхность атаки".
Возможно хранить ключ вместе с системой, но это имеет мало смысла.