Re: Wie Festplatte verschlüsseln für Headless-Host?
Am 12.10.2024 um 19:22:59 Uhr schrieb Matthias Böttcher:
> ich stelle mal eine Frage in die Runde, da ich mir unsicher bin, wie
> ich die bekannten Technologien miteinander kombiniere. Gegeben ist
> ein Mini-PC mit Prozessor Intel N100, der mit Debian im Dauerbetrieb
> zu Hause laufen soll. Dienste sind hauptsächlich Apache HTTP Server
> und MariaDB. Bis dahin unkompliziert - Trimming, LVM, php-fpm, ssh
> mit PubkeyAuthentication sowie Backup mit borg auf einen externen
> Borg-Server sind mir vertraut. Betrieben wird das Gerät Headless.
>
> Mein Threat-Modell: Schutz der Vertraulichkeit bei Einbruch und
> Diebstahl des Gerätes sowie später unbesorgte Entsorgung der SSD bei
> Defekt. Meine Anforderung daher: LUKS für die
> Festplattenverschlüsselung.
>
> Wie würdet ihr das einrichten? Folgende Ideen gehen mir duch den Kopf:
> - Festplatte komplett verschlüsseln? Wie dann aber "aufschließen"?
> Im Headless-Betrieb schwierig.
Geht eingeschränkt (z.B. nach meinem Kenntnisstand aktuell nicht mit
IPv6, mehrere Platten nicht getestet) mit dropbear im initramfs.
> Clevis und Tang werden dafür genannt, aber das erscheint mir zu
> komplex und damit zu störanfällig.
> - Bestimmte Daemons (Service-Units für php-fpm und mariadb) nicht
> automatisch starten, Volumes (LVs) mit zugehörigen Daten nach dem
> Neustart des Debian "von Hand" (mit Script und Login per ssh)
> aufschließen und mounten mittels Login per ssh, dann die Units
> starten.
Wäre auch ne Option. Beachte aber, dass so Sachen wie Logs oder /tmp
auch noch existieren.
--
Gruß
Marco
Send unsolicited bulk mail to 1728753779muell@cartoonies.org
Reply to: