zfs + geli + dropbear

[Jan Dušátko]

...
Tak ja si budu chvili premyslet nahlas.
...

Jeste bych doplnil.
Mimo fyzicke bezpecnosti je nutne zajistit i klice. A tady narazime na
problem.
U desktopu je mozne vyresit sifrovani celeho obsahu disku, protoze klic je
mozne prenaset, je mozne si ho pamatovat a pripadny vypadek desktopu v radu
hodin pro nikoho neni problem.
Co ale udelat se serverem? Je nutne delat pravidelnou udrzbu, obcas
restartovat server, obcas se server i restartne sam. Ale server je od slova
sluzebnik, slouzit. Tedy je potreba jeho dostupnost a zaroven bezpecnost.
Idealni by byla vrstva zajistujici hierarchicke sifrovani souboru dle
vlastnika (urcity okruh lidi muze mit pristup, samozrejme pak jejich
nadrizeni). Problemem je existence klicu nekde na disku nebo jejich
dostupnost pomoci nejake sluzby.
Pokud mam datovy disk sifrovany pomoci GELI, pouziji klic a heslo, dostavam
se do nasledujiciho problemu. Jak bezpecne distribuovat klice a odpovidajici
hesla aniz by doslo k jejich uniku, nebo neopravnene aktivaci. Moznosti
startu jsou nasledujici:
- server nastartuje na spravnem miste, bez vlivu neopravnene osoby.
- server nastartuje na spravnem miste, ale pod vlivem neopravnene osoby
- server nastartuje na nespravnem miste (kradez HW) pod vlivem neopravnene
osoby
A k tomu dalsi dva stavy:
- nikdo neodchyti komunikaci
- alespon jeden clovek odchyti komunikaci a vytahne odpovidajici
klice/hesla.

Dan tu spravne napsal, ze nema smysl sifrovat operacni system, ale pouze
data. Operacni system a struktura souboroveho systemu obsahuje dost
"standardizovanych" informaci aby zjednodusila utok na klic/heslo. Dale, je
otazkou, zda je nutne sifrovat data, ktera jsou nesifrovana posilana po
siti.

Pres to vse jsem zastance maximalniho mozneho zabezpeceni, jen jsem tim
chtel rozsirit Danovy poznamky.

Honza