Rootserver verschlüsseln

[Shinigami]

Das funktioniert nur, wenn man, wie phre4k ja auch schon schrieb, nur wenn man physischen Zugriff auf das Gerät hat. Wenn "sie" dann kommen, hat man vielleicht(!) noch genügend Zeit, den Stecker zu ziehen. Aber auch darauf sollteman sich nicht verlassen, die melden sich nämlich nicht an und die Haustürklingel benutzen sie in der Regel auch nicht.

Zuhause kann man aber den PC einfach abschalten. Irgendwie müssen die den doch mitnehmen und das klappt doch nicht, wenn der läuft.

 

[Der_W]

Und selbst wenn das Ding beim Zugriff läuft, was wollen sie machen?
RAM im laufenden Betrieb klonen ginge mit Firewire unter Umständen, sofern die Server dafür Ports haben. Und Debian sie unterstützt.

Über die KVM Maus, Tastatur und Bildschirm anhängen? Stehen sie immer noch vor einer Passworteingabe.

 

[gelöschter Benutzer]

Anleitung:

You do not have permission to view link please Anmelden or Registrieren

Alle Commands ohne Erklärung von der Seite:

Spoiler

cat /etc/resolv.conf
hostname
cat /etc/network/interfaces
route -n

cfdisk -z

mkfs.ext4 /dev/sda1

cryptsetup luksFormat /dev/sda3
cryptsetup luksOpen /dev/sda3 sda3_crypt
mkfs.ext4 /dev/mapper/sda3_crypt

mount /dev/mapper/sda3_crypt /mnt
mkdir /mnt/boot
mount /dev/sda1 /mnt/boot

mount -t tmpfs none /tmp
cd /tmp
wget http://ftp.de.debian.org/debian/pool/main/d/debootstrap/debootstrap_1.0.55_all.deb

ar -xf debootstrap_1.0.55_all.deb
tar xJf data.tar.xz
tar xzf control.tar.gz

cat md5sums | cut -d " " -f 3 | xargs md5sum $1 > md5sums.local; diff md5sums md5sums.local

nano usr/sbin/debootstrap

DEBOOTSTRAP_DIR=/tmp/usr/share/debootstrap

wget --no-check-certificate https://ftp-master.debian.org/keys/archive-key-6.0.asc
gpg --import archive-key-6.0.asc

usr/sbin/debootstrap --keyring=/root/.gnupg/pubring.gpg --arch amd64 wheezy /mnt/ http://ftp2.de.debian.org/debian

mount -t proc none /mnt/proc
mount -o bind /dev /mnt/dev
mount -t tmpfs none /mnt/tmp
mount -o bind /sys /mnt/sys
LANG=C chroot /mnt /bin/bash

passwd

echo $euerHostname > /etc/hostname
echo "$eureIP $euerHostname >> /etc/hosts
cat > /etc/resolv.conf << "EOF"
nameserver 127.0.0.1
nameserver 123.123.123.123
nameserver 213.186.33.99
EOF

cat > /etc/network/interfaces << "EOF"
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 123.123.123.123
netmask 255.255.255.0
broadcast 123.123.123.255
network 123.123.123.0
gateway 123.123.123.254
EOF

cat > /etc/network/interfaces << "EOF"
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 123.123.123.123
netmask 255.255.255.0
broadcast 123.123.123.255
network 123.123.123.0
gateway 123.123.123.254
EOF

sda2_crypt /dev/sda2 /dev/urandom cipher=aes-cbc-essiv:sha256,size=256,swap
sda3_crypt /dev/sda3 none luks

/dev/sda1               /boot   ext4    noatime 0       2
/dev/mapper/sda2_crypt  none    swap    sw      0       0
/dev/mapper/sda3_crypt  /       ext4    noatime,defaults,errors=remount-ro 0 1
proc /proc proc defaults

deb http://ftp.de.debian.org/debian/ wheezy main non-free contrib
deb-src http://ftp.de.debian.org/debian/ wheezy main non-free contrib
deb http://security.debian.org/ wheezy/updates main non-free contrib
deb-src http://security.debian.org/ wheezy/updates main non-free contrib
deb http://ftp.de.debian.org/debian/ wheezy-updates main non-free contrib
deb-src http://ftp.de.debian.org/debian/ wheezy-updates main non-free contrib

aptitude update && aptitude -y upgrade

aptitude -y install locales && dpkg-reconfigure locales

dpkg-reconfigure tzdata

aptitude -y install linux-image-amd64

aptitude install -y ssh grub-pc pciutils psmisc cryptsetup dropbear busybox

DEVICE=eth0
IP=$eureServerIP::$routerIP:255.255.255.0:$euerHostname:eth0:off
DROPBEAR=y

update-initramfs -u -k all

rm /etc/initramfs-tools/root/.ssh/id_rsa
rm /etc/initramfs-tools/root/.ssh/id_rsa.pub

rm /etc/initramfs-tools/root/.ssh/id_rsa
rm /etc/initramfs-tools/root/.ssh/id_rsa.pub

update-grub
exit
reboot

echo -n "$meinPasswort" > /lib/cryptsetup/passfifo

 

[Der_W]

Danke für die Anleitung, werde das jetzt mal in einer VM nachbauen.

Gruß aus den Quadraten *g

 

[Metal_Warrior]

Warum nicht einfach ne Standardconfig hochbooten lassen und nach dem Boot die Datenfestplatte einbinden? Dann kannst du alles über SSH machen, und auf der Systempartition (und in /home) liegt eh normalerweise nichts, was irgendwie relevant für die Schnittlauchpatroullie wäre.