Moin,
Am Sat, Oct 12, 2024 at 07:58:02PM +0200 schrieb Marco Moock:
Am 12.10.2024 um 19:22:59 Uhr schrieb Matthias B�ttcher:
ich stelle mal eine Frage in die Runde, da ich mir unsicher bin, wie
ich die bekannten Technologien miteinander kombiniere. Gegeben ist
ein Mini-PC mit Prozessor Intel N100, der mit Debian im Dauerbetrieb
zu Hause laufen soll. Dienste sind haupts�chlich Apache HTTP Server
und MariaDB. Bis dahin unkompliziert - Trimming, LVM, php-fpm, ssh
mit PubkeyAuthentication sowie Backup mit borg auf einen externen Borg-Server sind mir vertraut. Betrieben wird das Ger�t Headless.
Mein Threat-Modell: Schutz der Vertraulichkeit bei Einbruch und
Diebstahl des Ger�tes sowie sp�ter unbesorgte Entsorgung der SSD bei Defekt. Meine Anforderung daher: LUKS f�r die
Festplattenverschl�sselung.
Wie w�rdet ihr das einrichten? Folgende Ideen gehen mir duch den Kopf:
- Festplatte komplett verschl�sseln? Wie dann aber "aufschlie�en"?
Im Headless-Betrieb schwierig.
Geht eingeschr�nkt (z.B. nach meinem Kenntnisstand aktuell nicht mit
IPv6, mehrere Platten nicht getestet) mit dropbear im initramfs.
Ist unter Debian sogar vergleichsweise einfach einzurichten, Paket 'dropbear-initramfs' [1] installieren, nach Dokumentation einrichten.
Hab ich hier auf einem headless Homeserver mit Xen so laufen. Mit dem
dropbear wird das rootfs vom Xen host (bzw. das LVM PV und damit die
komplette VG inkl. root LV) aufgemacht. Die Daten liegen dann auf
'nem separat verschl�sselten RAID, das wird hier alles von einem
custom script aufgemacht und danach die virtuellen Maschinen
gestartet. Dieses Skript wird von mir manuell gestartet, sobald das Host-System hochgelaufen ist. Bisschen umst�ndlich, aber so oft muss
man ja nicht neu booten.
Das l�sst sich logischerweise auch alles so einrichten, dass es von
remote funktioniert, muss man halt alles einmal durchspielen inkl.
Erstellung der n�tigen SSH keys etc. Hab ich aber auch nicht headless eingerichtet, zu dem Zweck hab ich die Hardware aus der Ecke gekramt
und Monitor und Tastatur dran gehabt. ;-)
Clevis und Tang werden daf�r genannt, aber das erscheint mir zu
komplex und damit zu st�ranf�llig.
- Bestimmte Daemons (Service-Units f�r php-fpm und mariadb) nicht
automatisch starten, Volumes (LVs) mit zugeh�rigen Daten nach dem
Neustart des Debian "von Hand" (mit Script und Login per ssh) aufschlie�en und mounten mittels Login per ssh, dann die Units
starten.
W�re auch ne Option. Beachte aber, dass so Sachen wie Logs oder /tmp
auch noch existieren.
Wenn die Services alle in Containern oder virtuellen Maschinen laufen,
stelle ich es mir ein bisschen einfacher vor mit dem Volumen
Management, aber im Grunde ja.
Gr��e
Alex
[1]
https://packages.debian.org/bookworm/dropbear-initramfs
--
/"\ ASCII RIBBON | �With the first link, the chain is forged. The first
\ / CAMPAIGN | speech censured, the first thought forbidden, the
X AGAINST | first freedom denied, chains us all irrevocably.�
/ \ HTML MAIL | (Jean-Luc Picard, quoting Judge Aaron Satie)
-----BEGIN PGP SIGNATURE-----
iQIzBAABCAAdFiEEwo7muQJjlc+Prwj6NK3NAHIhXMYFAmcfUvYACgkQNK3NAHIh XMYoXRAAvCAr0Ske0i0SPoRQV7u9U58iG7gItgWdsGOa+LJBCrdti4lVSoonMimP MxGo8j1zWaTQB49FA0fHdb2mvWWgdbo0ghtepk4CIuhFjOJM175BitBJdZ2+MaS/ aUjj5R7Q2Q8VXl91mGuc2vvkh1xordEgTEgfxTZjOb8pUrInHSEPPeL5fg6MAgSf 2T1ER7CJw3eoAGwEOP0A1c4nmQhkCn0KFJMOxgSU2VFnDrYBsL8MG6R8UDBOonBq c8c0ABF5XbfQmeeW2jGWcmlCYLMc76hKaQes8tKf4DUVutAE635HTbPcsDmK14Zm Z1pJr37T5K3zUAUMBNxSGFtlRJ2e3TS5rSerrBpagh8TsN+Tqd5erNnvOZrbLsU+ pUlL3LjRYqFl1jPmTy4XsoB02jZJOlDOu1Mzy7TnHi2KwLDB0N4eUemsKSUZ+iKK hXl12ma5kIAMUE3NZI7/2LIdr6bX648zPpNQHeYKT2Q5hMfCFgrryGgqTFa8FQwN v+7N9fHqKm7fAlUWj06yb3Th/U2qxEPTFXhgBTTX1q0t3R28dZBW99Ig/0QLnag4 p6aKXwxfv3hgkmlpQcsecZMDzmPOXBlJIPiV2slnuShdNB