Rootserver verschlüsseln

Jump to last post
D

Der_W

Aus Prinzip dagegen
Registriert
14 Juli 2013
Beiträge
159
Heyho :)

Ich besitze derzeit einen Rootserver bei Hetzner. Dieser läuft unter Windows 2008R2 und hat zwei verschlüsselte Partitionen, auf denen sensible Daten liegen.

Da ich das Teil allerdings eh auf Debian umstellen wollte, würde ich in diesem Zug auch gern die gesamte Platte verschlüsseln. Mein Problem:
Wie dann restarten?

Mein Gedanke war nun, zuerst einen SSH-Server und dann Truecrypt/dmcrypt anzuwerfern. Per SSH das PW eingeben, und dann sollte er booten. Unverschlüsselt wäre nur eine Bootpartition mit besagtem SSH-Server und dem Crypt-Modul.

Hat da jemand ein Step by Step Tutorial für mich?
 
eCryptFS? Oder willst du echt alles verschlüsseln? Kostet sicher auch Performance.

Was ist deine Zielsetzung?
 
  • Thread Starter Thread Starter
  • #3
Den Server gegen Zugriffe absichern, besonders auch gegen physikalische durch gewisse staatl. Institutionen ;)
Ich hatte derzeit meine eigene Platte @home mittels Truecrypt verschlüsselt, da gabs dann beim Boot ein PW zum eingeben, sonst ging es nicht weiter.

Gleiches hatte ich jetzt mit dem Rootserver vor, allerdings muss man da ja bedenken, dass das PW eben nur per SSH eingegeben werden kann.
You do not have permission to view link please Anmelden or Registrieren
Tutorial sieht nicht schlecht aus, ich werde in einer VM mal versuchen, ob ich das nachstellen kann.
 
Dir ist aber schon klar, dass die Verschlüsselung einer Festplatte nur schützt, solange der Server nicht läuft, bzw. die verschlüsselte Platte/Partition nicht eingehängt ist oder? Sobald du das Passwort eingeben hast, war es das mit dem Schutz.
 
Aber die sagen doch vorher bescheid, bevor sie den Server kidnappen.
 
Na im Prinzip ist es doch das, was mit dem Razorback (Emule-Server) damals passiert ist, da wurden alle Clientdaten im RAM gehalten, als es zum Bust kam, haben sie den Server vom Netz genommen und schwups, war der RAM weg. Das Prinzip müsste ja das gleiche sein, wird der Server des TS vom Netz genommen, sollte die Platte geunmounted werden und die Verschlüsselung wieder aktiv sein. So dass die Cryptoexperten für die Analyse wieder das Passwort brauchen. Oder?
 
phre4k schrieb:
Aber die sagen doch vorher bescheid, bevor sie den Server kidnappen.
Zum Vergrößern anklicken....
Stimmt, das hatte ich ganz vergessen. :D

@accC
Das ist richtig.
Aber so blöd werden "die" nicht sein. Wenn die die Daten haben wollen, holen sie sich die natürlich vom laufenden Server, bzw. werden sie die Festplatte kopieren, solange sie eingehängt ist.
Genauso, wie es üblich ist, das RAM zu kopieren, bevor so ein Server vom Netz genommen wird. "Die" lernen ja auch dazu.
 
  • Thread Starter Thread Starter
  • #8
Und wie wollen die das machen? ich habe nen Dedicated Server, ohne PW können sie sich nicht einloggen. Wenn sie nicht gerade ernsthaft den RAM absichern (Eisspray-Trick) - und das halte ich für unwahrscheinlich, ich heiße nicht Snowden - haben sie keinen Zugriff drauf.
Bauen sie die Platte aus und hängen sie woanders dran, müssten sie wieder über das PW gehen. Bleibt nur noch
You do not have permission to view link please Anmelden or Registrieren
.
 
  • Thread Starter Thread Starter
  • #10
Hober Mallow schrieb:
Sie greifen einfach über die dafür vorgesehene Schnittstelle auf den laufenden Server zu.
Zum Vergrößern anklicken....
Und wie soll die aussehen? Du musst dich immer noch am System authentifizieren - ansonsten müsste Debian eine entsprechende Schnittstelle zum Hardware-Port haben - und das geht nicht ohne Name und PW.
Bauen Sie die Platte aus, sind die gewonnenen Daten nutzlos, da sie verschlüsselt sind.
 
Na, dann ist doch alles super.
Da brauchen wir doch keine Angst mehr vor Datenklau durch die NSA und Co zu haben. Die haben doch eh keinen Zugriff auf die Server. Schließlich braucht man dafür ja ein Passwort.
Wozu also all die Aufregung? :rolleyes:
 
Gibt Kriminelle, bei denen ich lache, wenn sie erwischt werden.

Wenn das Gehäuse kein IDS drin hat mit irgendwelchen Hardware-Maßnahmen, kann man eigentlich alles umgehen.

Noch mal die Frage: was spricht gegen ecryptFS? Ist einfacher und genauso sicher.
 
Ich denke eher dass er sich vor Zugriff von deutschen Institutionen schützen will, da etwas illegales auf dem Server ist?
 
@phre4k: natürlich kann man "alles" irgendwie umgehen mit der entsprechenden Rechenleistung.

Ich glaube aber nicht das sich irgendwer die Mühe machen würde, bzw. die kosten aufbringen will, die warez Festplatte von Hans Otto 0815 zu entschlüsseln.
 
Geht hier nicht um Rechenleistung, sondern beispielsweise um das Kopieren des RAM bei laufendem Rechner. Mit dem passenden Equipment ist das gar nicht mal schwer, hörte ich.

Selbst ohne physischen Zugriff gibt es 0day-Exploits.
 
klar gibt es Möglichkeiten. Die Frage ist wie realistisch das alles ist bzw. was dann wirklich angewendet wird. Eine Beschlagnahmung von Staat würde doch z.B. mit Sicherheit so aussehen, dass die den Server einfach mitnehmen. Um Opfer eines zeroday-exploits unter Linux zu werden muss man aber schon sehr wichtig sein.
 
Aber die Leute sind doch heutzutage alle so wichtig! Sind ja keine Kiddies, die Warez-Server betreiben und Schiss haben, oder so.

BTT: Ich finde Verschlüsselung nur sinnvoll, wenn man auch physischen Zugang zur Maschine hat. Also am Besten einen eigenen Serverraum einrichten.
 
Verschlüsselung ist z.B. bei einem Notebook angebracht. Wenn man das Ding dann mal irgendwo vergisst oder es geklaut wird, kommt der "Finder" eben nicht an die Daten. Vorrausgesetzt, man fährt ihn auch immer brav herunter.

Aber was soll das bei einem Server, der ja normalerweise läuft?
Weder die NSA, der Hoster, das BKA oder der Verfassungsschutz wird so nett sein, den Server herunterzufahren bevor sie versuchen, die Platte kopieren.
Und die werden auch keine Postkarte schicken. "Wir beabsichtigen, ihren Server zu beschlagnahmen. Bitte denken Sie daran, ihn vorher herunterzufahren, damit ihre Festplattenverschlüsselung wirksam wird."

Das funktioniert nur, wenn man, wie phre4k ja auch schon schrieb, nur wenn man physischen Zugriff auf das Gerät hat. Wenn "sie" dann kommen, hat man vielleicht(!) noch genügend Zeit, den Stecker zu ziehen. Aber auch darauf sollteman sich nicht verlassen, die melden sich nämlich nicht an und die Haustürklingel benutzen sie in der Regel auch nicht. ;)
 
Hober Mallow schrieb:
Aber was soll das bei einem Server, der ja normalerweise läuft?
Weder die NSA, der Hoster, das BKA oder der Verfassungsschutz wird so nett sein, den Server herunterzufahren bevor sie versuchen, die Platte kopieren.
Zum Vergrößern anklicken....
Woher hast du deine Informationen in Bezug auf das BKA?
Ich erinnere mich zB an eine Beschlagnahme eines Servers eines VPN Dienstsleisters, wo keine derartigen Maßnahmen gesetzt wurden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben