Re: proteger servidor remoto
From: Ricardo Frydman Eureka! <ricardoeureka@gmail.com>
To: debian-user-spanish@lists.debian.org
Subject: Re: proteger servidor remoto
Date: Thu, 7 Sep 2006 10:44:47 -0300
El jue, 07 de sep de 2006, a las 01:22:11 +0000, enediel gonzalez dijo:
[..]
>
> Saludos a todos,
> Permitanme por favor ser mas explicito en mi problema.
>
> Se tiene un sistema distribuido en servidores (sarge), todos estos
> servidores estan geograficamente muy separados y son independientes
entre
> si, ellos de forma autonoma alimentan de informacion a un centro que a
su
> vez se encarga de administrarlos.
>
> Cada servidor donde esta localizado es una caja negra para el personal
que
> alli trabaja, incluso para el personal tecnico local, nadie tiene acceso
> con un usuario linux normal, ellos solo cuentan con acceso al servidor
por
> paginas webs, pues los servidores poseen apache instalado y el sistema
en
Hasta aca vamos bien...
nos vamos entendiendo
> cuestion se opera por esta via, es por ello que yo me referia a
interfaces
> web, ademas de poseer sus bases de datos.
>
> como opciones del sistema se incluyen algunas de administracion (todo a
> traves del sitio web),
Aqui es donde no me cuadra el asunto: estas planteando un esquema de alta
seguridad, pero a su vez permites "administrar
por interfase web" a todo el mundo?
Algo contradictorio verdad?
para nada,
tareas de administracion pueden incluir,
-crear un nuevo usuario que opere el sistema por web (se hace por paginas
web)
- modificar parametros generales para la operacion del sistema (se hace por
paginas web tambien)
-efectuar ciertas cancelaciones de transacciones (se hace por paginas web
tambien)
-otras cosas por el estilo, operaciones que se ejecutan por paginas web.
-apagar el server si es necesario
como ves, la palabra administracion la tengo asociada a administracion del
sistema instalado, no tiene que ver nada con administrar sarge.
> entre las que mencione la opcion de apagar el
> servidor, en alguna ocasion pudiera ser necesario apagarlo por cualquier
> motivo, moverlo de lugar, un cambio de UPS, etc, por lo que tienen esta
> opcion para hacerlo apropiadamente.
Llegado el eventualisimo caso de eso, el administrador de esos servidores
debe conocer la contraseña de Ruth y apagarla
via ssh o bien llamarte a ti o a quien ocupe el cargo de $DEITY en esos
servidores para que lo realice.
no es el unico modo de hacerlo.
esta programado para que al momento de tu seleccionar apagar el servidor, se
genere un fichero vacio en una carpeta, y con un proceso en el cron que
revisa la existencia de este fichero, al detectar que existe, lo borra y es
el que realmente apaga la maquina.
Dejar esa opcion a usuarios comunes es casi tan suicida como instalarle
Windows (R).
de la forma que te explique ahora aun lo consideras asi?
ademas, obviamente, no todos los usuarios que acceden al sistema por web
tienen esos permisos 'de administracion'
> La autonomia de estos servidores es alta, y cuando realmente se precisa
> meterse en el sarge y configurar algo, la oficina central lo hace via
ssh y
> son los unicos con acceso directo a ellos, esto no ocurre frecuentemente
> pero es el unico modo de accesarlos.
Logico.
>
> Este es el escenario, ahora el problema.
> -----------------------------------------------------
> Se pretende proteger a estos servidores frente al hecho que alguien lo
> apague, haga una imagen del disco, y luego poniendo este como esclavo en
> otra maquina pudiera hacerse de informacion sensible.
Eso ya fue contestado: la unica opcion que conozco es cifrar los datos o
enterrar los servidores en algun bunker varios
metros bajo tierra, sellar la entrada con algun material a prueba de
explosiones nucleares y tragarse la(s) llave(s).
;>D
el dia que escribas un correo con la ausencia de tu acostumbrada
originalidad, padecere de taquicardia, me montare en un avion y te llevo las
medicinas que te faltan, pues te aprecio y respeto bastante.
es solo un problema mas, con sus condiciones particulares, y las nuevas
ideas siempre son puntos de partidas al desarrollo, te imaginas que todo ya
fuese resuelto, seria un fastidio.
>
> lo que he visto relativo a temas de encryptacion como por ejemplo
> http://www.debian-administration.org/articles/428
No tengo acceso a leer eso ahora, pero /imagino/ que involucra dm-crypt o
similar lo cual ya creo haberte recomendado.
probare lo que me propusiste
>
> conciben que quien este frente al servidor tenga acceso de algun modo a
la
> llave que permite desencryptar las particiones, y como les explique
> anteriormente, ellos no son los verdaderos administradores del sarge.
No tienen porque /conocer/ la clave.
Solo puden poder ingresarla al momento de pedirla.
Logicamente si no confias en ellos, pues tienes 2 opciones:
1) Hacerlo tu o alguien en quien confies
como ves son remotos y se pretende que trabajen autonomos, y si confio en
ellos sencillamente no tiene sentido la seguridad que se busca.
2) Usar claves de una sola vez.
vere a que te refieres con esto.
> dada las condiciones iniciales, busco la opcion que el sistema arranque
> autonomo desencryptando las particiones sin que sea preciso entrar
alguna
> clave manualmente, y que de darse el caso anterior no puedan hacer uso
> alguno del contenido.
Eso implicaria que la clave este en el disco o en algun lugar accesible en
el servidor a la hora de arrancar, con lo
cual el sentido de cifrarlo se pierde absolutamente, pues les das a los
ladronzuelos la llave con la que cierras el
candado.
nos entendemos perfectamente en este punto.
>
>
> Gracias a los que contestaron y a quienes me puedan aconsejar una forma
de
> llegar a mi objetivo
Me parece que justamente lo que debes reveer es tu objetivo.
si me demuestro que es insoluble, es natural que haya que replantearselo,
estoy al menos buscando si puedo solucionarlo asi como esta.
mi aprecio y mi respeto hacia ti, siempre por defecto .
saludos
Enediel
Reply to: