我有一个使用 Kickstart 启动服务器的 CentOS 6.5 环境。我们 Kickstart 的要求之一是分区是加密的。由于 Anaconda 只能为 LUKS 加密分区采用纯文本密码,那么保护 Kickstart 配置文件的最佳方法是什么?我们目前通过 HTTP 为它们提供服务,很快将使用 HTTPS。
我一直在与这个问题作斗争一段时间了。
我有一个带有 3 个磁盘的逻辑卷,分别为 1.5TB、2TB 和 3TB。1.5TB 驱动器出现故障。大量 I/O 错误和死坏扇区。我开始 pvmove 将故障驱动器上的现有范围移动到 3TB 驱动器(还有足够的空间)。我移动了 99% 的范围,但最后一个百分比似乎无法阅读。读取失败并且 pvmove 退出。
这是目前的状态:
root@server:~# pvdisplay
/dev/sdd: read failed after 0 of 4096 at 0: Input/output error
/dev/sdd: read failed after 0 of 4096 at 1500301819904: Input/output error
/dev/sdd: read failed after 0 of 4096 at 1500301901824: Input/output error
/dev/sdd: read failed after 0 of 4096 at 4096: Input/output error
/dev/sdd1: read failed after 0 of 4096 at 1500300771328: Input/output error
/dev/sdd1: read failed after …我有一些服务器我想保留在加密磁盘上,但我不想在每次启动时都手动输入密码。我也不想让机器上的密钥未加密。TPM 在这里很合适,但如果有人偷了整台机器怎么办?
如果我建立了一个“集群”,其中每台机器只将另一台机器的密钥存储在静态加密的东西上怎么办?所以现在,只有当集群中的所有机器都同时离线时,才会手动提供密码,但仅限于其中一台机器上。
每个节点都有一个带有 dropbear 实例的 initramdisk 和几个脚本,它们将:
这样,任何地方都不会存储未加密的密钥,而且我可以重新启动我的所有服务器,只要至少有一个在给定的时间保持运行。如果他们一下子都挂了,我必须输入密码。
这会是一个安全的解决方案吗?如果没有,是否可以修改基本思想以使其成为一个安全的解决方案?
(此外,这种类型的设置是否有现有名称?)
有没有办法在启动时自动解锁 LUKS 驱动器,并将密钥文件存储在远程机器上。这个想法是确保服务器可以在没有任何用户输入的情况下重新启动。服务器在公共云上,我无法加密根分区。将密钥文件留在机器上只会违背加密的目的。
因此,将远程机器中的密钥文件通过安全通道(如 ssh)连接的想法。
Mandos似乎在做我想要的,但我有两个问题。
- 所有的文档都是指根文件系统。它可以与任何驱动器一起使用吗?
- 文档说明它只能在 Intranet 上运行,如果本地和远程服务器通过 VPN 连接,它会起作用吗?
这是最好的解决方案吗?唯一的解决办法?
由于您可以使用您想要的任何文件系统格式化 LUKS 卷,因此某些文件系统是否更适合加密文件系统的 IO 性能?具体来说,我想知道一个带有位于ext4分区上的文件的循环设备。由于写入文件系统的所有数据都是加密的,某些文件系统写入的元数据是更少还是更有效?zfs或ext2/会ext3比ext4在加密的环回文件系统上表现更好吗?
我有一个服务器,我设置了它的根分区完全加密。我迫切需要在启动时禁用密码对话框,因为它不会让服务器在断电后启动,它已经发生了。
有没有什么方法可以让系统自动启动进入加密系统而不要求密码?也许将密码短语作为参数传递给某个内核参数,但我还没有找到有关此类内容的任何信息。谢谢。
我在尝试时收到“此密码没有可用的密钥。 ”:
sudo cryptsetup open --type luks /dev/sdc storage --key-file=/path/to/keyfile
该/path/to/keyfile文件仅包含纯文本形式的密码。
如果我在交互式询问时输入相同的密码:
sudo cryptsetup open --type luks /dev/sdc storage
然后就可以了。
为什么--key-file在这种情况下不起作用?这是 Ubuntu 14.04 @ Linux 3.13.0-68。
这是一个我已经困惑了一段时间的加密主题。根据我对 LUKS 的理解,一旦使用密码打开 LUKS 卷并安装了生成的设备映射器设备,就可以读取和写入它,直到它关闭/卸载为止,而实际的磁盘格式数据采用加密形式。
假设在打开和挂载 LUKS 卷时发生了服务器入侵,从而导致 root 帐户的密码被 SSH 泄露并入侵。攻击者现在将拥有对设备的完全读/写访问权限。
将此与基于文件的加密系统(例如 eCryptfs)进行比较。如果发生对 root 帐户的破坏并且我将敏感数据存储在 /home/secure(使用 eCryptfs 加密)中 - 攻击者将无法访问它,因为 /home/secure 目录不仅仅是用密码“解锁”,就像 LUKS 一样。
我在这里完全误解了什么吗?我觉得我已经从关于 LUKS 的大量信息中完成了我的研究,但是我还没有发现任何关于安装 LUKS 卷时闯入的影响的讨论。感谢您提供任何见解或澄清!
有人知道 LUKS 密码的最大长度吗?
密码将是随机生成的,我可以创建任意长度的密码。
我使用的是 CentOS 6,Linux 内核为 2.6.32-573.12.1.el6.x86_64,cryptsetup-luks 版本为 1.2.0-11.el6.x86_64
当驱动器采用文本密码时,可以通过 SSH 轻松解锁 LUKS 驱动器:
cryptsetup luksOpen /dev/sdb1 mylockeddrive
然后根据提示输入密码。
使用密钥文件时是否有办法解锁这些驱动器,而不需要在远程系统上复制密钥文件?
我正在从事服务器构建项目的工作,并继承了以下项目,我需要找出处理和配置的最佳方式。
这个盒子的主要目的是通过 NFS 为许多客户端提供存储服务和文件共享,如果我们无法让 Windows 客户端连接到 NFS,可能是 SAMBA,并且可能用作某些电视或媒体盒的 DNLA 服务器我们从服务器上存储的内容中获得。我们还希望将部分存储空间用作Linux KVM 的可能空间。
我们还想在 Red Hat/Cent OS/Scientific Linux 世界中使用以下项目: