Re: Wie Festplatte verschlüsseln für Headless-Host?

To: debian-user-german@lists.debian.org
Subject: Re: Wie Festplatte verschlüsseln für Headless-Host?
From: Marc Haber <mh+debian-user-german@zugschlus.de>
Date: Sun, 13 Oct 2024 10:30:50 +0200
Message-id: <[🔎] E1sztzy-00000002Coa-0b6s@swivel.zugschlus.de>
In-reply-to: <[🔎] CAFBm81p5zeYV84hjTEJmWGVvP=0wE-bheEs=eDHBpWYt5XLLtQ@mail.gmail.com>
References: <[🔎] CAFBm81p5zeYV84hjTEJmWGVvP=0wE-bheEs=eDHBpWYt5XLLtQ@mail.gmail.com>

On Sat, 12 Oct 2024 19:22:59 +0200, Matthias Böttcher
<matthias.boettcher@gmail.com> wrote:
>Hallo an alle,
>
>ich stelle mal eine Frage in die Runde, da ich mir unsicher bin, wie ich
>die bekannten Technologien miteinander kombiniere. Gegeben ist ein Mini-PC
>mit Prozessor Intel N100, der mit Debian im Dauerbetrieb zu Hause laufen
>soll. Dienste sind hauptsächlich Apache HTTP Server und MariaDB. Bis dahin
>unkompliziert - Trimming, LVM, php-fpm, ssh mit PubkeyAuthentication sowie
>Backup mit borg auf einen externen Borg-Server sind mir vertraut.
>Betrieben wird das Gerät Headless.
>
>Mein Threat-Modell: Schutz der Vertraulichkeit bei Einbruch und Diebstahl
>des Gerätes sowie später unbesorgte Entsorgung der SSD bei Defekt.
>Meine Anforderung daher: LUKS für die Festplattenverschlüsselung.

Die unbesorgte Entsorgung der SSD ist einfach zu bekommen: Keyfile auf
einen USB-Stick. Damit geht sogar das automatische Aufschließen des
Systems beim Neustart.

Schützt halt nicht gegen Einbruch weil der Einbrecher den Stick mit an
Sicherheit grenzender Wahrscheinlichkeit mitklaut und der Rechner am
neuen Standort genau so bootenw wird wie bei Dir daheim. Das geht
nicht ohne einen manuellen Eingriff. Es gibt diverse Methoden, den
Rechner schon in der initramfs-Phase per ssh erreichbar zu machen.

Oder Du baust den Rechner so, dass das System von unverschlüsseltem
Root FS bootet und Du dich dann per ssh einloggst und die
Partitionen/Volumes mit den vertraulichen Daten manuell aufschließt.
Mit systemd ist es sogar machbar, dass die Dienste automatisch
nachstarten sobald deren Daten erreichbar sind. Trojanisierung des
Systems ist ja nicht Bestandteil Deines Threatmodells.

>
>Wie würdet ihr das einrichten? Folgende Ideen gehen mir duch den Kopf:
>- Festplatte komplett verschlüsseln? Wie dann aber "aufschließen"?
>  Im Headless-Betrieb schwierig.
>  Clevis und Tang werden dafür genannt, aber das erscheint mir zu komplex
>  und damit zu störanfällig.

Irgend einen Tod muss man sterben. Den Systemboot macht man wenigstens
oft genug dass man Übung darin hat.

>- Bestimmte Daemons (Service-Units für php-fpm und mariadb) nicht
>  automatisch starten, Volumes (LVs) mit zugehörigen Daten nach dem
>  Neustart des Debian "von Hand" (mit Script und Login per ssh) aufschließen
>  und mounten mittels Login per ssh, dann die Units starten.

Oder so.

Grüße
Marc
-- 
----------------------------------------------------------------------------
Marc Haber         |   " Questions are the         | Mailadresse im Header
Rhein-Neckar, DE   |     Beginning of Wisdom "     | 
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

Reply to:

Follow-Ups:
- Re: Wie Festplatte verschlüsseln für Headless-Host?
  - From: Stefan Baur <newsgroups.mail2@stefanbaur.de>
- Re: Wie Festplatte verschlüsseln für Headless-Host?
  - From: Christoph <christoph@netpole.eu>
- Re: Wie Festplatte verschlüsseln für Headless-Host?
  - From: Matthias Böttcher <matthias.boettcher@gmail.com>

References:
- Wie Festplatte verschlüsseln für Headless-Host?
  - From: Matthias Böttcher <matthias.boettcher@gmail.com>

Prev by Date: Re: Wie Festplatte verschlüsseln für Headless-Host?
Next by Date: Re: Wie Festplatte verschlüsseln für Headless-Host?
Previous by thread: Re: Wie Festplatte verschlüsseln für Headless-Host?
Next by thread: Re: Wie Festplatte verschlüsseln für Headless-Host?
Index(es):
- Date
- Thread