Moin, Am Sat, Oct 12, 2024 at 07:58:02PM +0200 schrieb Marco Moock: > Am 12.10.2024 um 19:22:59 Uhr schrieb Matthias Böttcher: > > > ich stelle mal eine Frage in die Runde, da ich mir unsicher bin, wie > > ich die bekannten Technologien miteinander kombiniere. Gegeben ist > > ein Mini-PC mit Prozessor Intel N100, der mit Debian im Dauerbetrieb > > zu Hause laufen soll. Dienste sind hauptsächlich Apache HTTP Server > > und MariaDB. Bis dahin unkompliziert - Trimming, LVM, php-fpm, ssh > > mit PubkeyAuthentication sowie Backup mit borg auf einen externen > > Borg-Server sind mir vertraut. Betrieben wird das Gerät Headless. > > > > Mein Threat-Modell: Schutz der Vertraulichkeit bei Einbruch und > > Diebstahl des Gerätes sowie später unbesorgte Entsorgung der SSD bei > > Defekt. Meine Anforderung daher: LUKS für die > > Festplattenverschlüsselung. > > > > Wie würdet ihr das einrichten? Folgende Ideen gehen mir duch den Kopf: > > - Festplatte komplett verschlüsseln? Wie dann aber "aufschließen"? > > Im Headless-Betrieb schwierig. > > Geht eingeschränkt (z.B. nach meinem Kenntnisstand aktuell nicht mit > IPv6, mehrere Platten nicht getestet) mit dropbear im initramfs. Ist unter Debian sogar vergleichsweise einfach einzurichten, Paket 'dropbear-initramfs' [1] installieren, nach Dokumentation einrichten. Hab ich hier auf einem headless Homeserver mit Xen so laufen. Mit dem dropbear wird das rootfs vom Xen host (bzw. das LVM PV und damit die komplette VG inkl. root LV) aufgemacht. Die Daten liegen dann auf 'nem separat verschlüsselten RAID, das wird hier alles von einem custom script aufgemacht und danach die virtuellen Maschinen gestartet. Dieses Skript wird von mir manuell gestartet, sobald das Host-System hochgelaufen ist. Bisschen umständlich, aber so oft muss man ja nicht neu booten. Das lässt sich logischerweise auch alles so einrichten, dass es von remote funktioniert, muss man halt alles einmal durchspielen inkl. Erstellung der nötigen SSH keys etc. Hab ich aber auch nicht headless eingerichtet, zu dem Zweck hab ich die Hardware aus der Ecke gekramt und Monitor und Tastatur dran gehabt. ;-) > > Clevis und Tang werden dafür genannt, aber das erscheint mir zu > > komplex und damit zu störanfällig. > > - Bestimmte Daemons (Service-Units für php-fpm und mariadb) nicht > > automatisch starten, Volumes (LVs) mit zugehörigen Daten nach dem > > Neustart des Debian "von Hand" (mit Script und Login per ssh) > > aufschließen und mounten mittels Login per ssh, dann die Units > > starten. > > Wäre auch ne Option. Beachte aber, dass so Sachen wie Logs oder /tmp > auch noch existieren. Wenn die Services alle in Containern oder virtuellen Maschinen laufen, stelle ich es mir ein bisschen einfacher vor mit dem Volumen Management, aber im Grunde ja. Grüße Alex [1] https://packages.debian.org/bookworm/dropbear-initramfs -- /"\ ASCII RIBBON | »With the first link, the chain is forged. The first \ / CAMPAIGN | speech censured, the first thought forbidden, the X AGAINST | first freedom denied, chains us all irrevocably.« / \ HTML MAIL | (Jean-Luc Picard, quoting Judge Aaron Satie)
Attachment:
signature.asc
Description: PGP signature