我正在设置一个服务器,其中包含一些重要的代码。我想确保代码无法访问,以防HD被盗。我知道你永远无法确定,但相当安全。 我可以使用哪种方法? 如何在没有人工交互的情况下在启动时安装加密的文件系统?
非常感谢你的帮助。
答案 0 :(得分:2)
在没有人为干预的情况下挂载加密文件系统最终会削弱您的安全性。小偷只需要偷你的服务器。使用dm_crypt的任何基于Linux的系统都是完美的。有许多在线教程向您展示如何操作。
如果是文件服务器,您可能需要考虑使用FreeNAS。它是一个基于BSD的NAS操作系统,它包括加密磁盘等功能。您需要通过Web界面输入密码才能安装磁盘。
答案 1 :(得分:2)
我不知道任何加密的文件系统解决方案是否支持这一点,但一种解决方案是让服务器联系另一台服务器来获取密钥。您甚至可以想象在多个服务器之间拆分密钥,因此服务器必须联系n个服务器中的n个来获取密钥。
如果您将服务器放置在不同的位置,这样可以安全地防止服务器被盗(n-1)。
然而,如果攻击者在服务器仍然连接到网络时执行攻击,则攻击者当然能够访问加密密钥,但是这种实现方式可以防止简单的盗窃。
答案 2 :(得分:2)
开源TrueCrypt在文件中创建虚拟磁盘并像真实驱动器一样安装它,或者它可以加密整个驱动器。加密是透明和快速的。我用过它;它实时工作。它可能会使事情变得更容易。
答案 3 :(得分:1)
您想要的是Full Disk Encryption。完整的分区/文件系统是加密的,它在安装时由操作系统(或第三方软件)解密。
有许多实现,至少MS Windows& Linux将其作为操作系统的一部分。 有关详细信息,请参阅Wikipedia文章。
能够在没有人为干预的情况下安装它可能会有问题;毕竟,重点是你不能在没有人(即你)干预的情况下阅读高清:-)。您可以使用某些硬件令牌执行此操作,但之后也可能会被盗。所以这个要求可能不可行。
答案 4 :(得分:1)
使用硬件令牌无需人工干预,但您需要防止有人随服务器窃取令牌。
您可以使用内置GPS和10分钟备用电池或其他东西来完成一些安全措施(如果电源丢失> 10分钟或移动服务器,请忘记密钥)。你可以以某种方式使它工作,但它将非常昂贵。
你可能想要这样一个参与度较低的解决方案:
仍然需要人工干预,但你可以留在家里做。
答案 5 :(得分:1)
非常感谢您的帮助答案。
我将尝试使用几个分布式密钥文件(并且没有密码)的truecrypt容器。 脚本将检索密钥文件,然后装入卷,然后删除密钥文件。
由于我们只是一小部分,另一种选择可能是在写入/读取之前以编程方式对客户端上的数据进行加密/解密。但在我看来,这似乎很无聊。
那么,在终端服务器上有一个密钥文件怎么样? 这么多问题!
再次感谢您的帮助。
答案 6 :(得分:0)
现在......我记得cold boot attacks。我们真的需要枪吗?我们注定要注定吗?