Делаем зашифрованный сервер



Предположим, нам понадобилась площадка под те или иные задачи и вот вопрос, - А как же правильно сварить наш сервер и убедиться, что данные на нем будут в безопасности?
Преамбула!
У нас есть некоторое количество разнородных HDD с достаточной степенью надежности, в этой статье рассказ пойдет об их использовании ради экономии средств.
Мы боимся, что к нам придут «друзья по чаепитию» - как мы можем быть уверены, что наши данные не удастся вытащить?
Как должна выглядеть «безопасная» и дешевая платформа?
Используемое ПО и инструменты:
Debian 7 версии и выше
Образ debian-7.7.0-i386-amd64-source-DVD-1.iso
Скачать можно по данной ссылке: http://darktorrck7hmu37.onion/viewtopic.php?f=2&t=27

Советы по железу:
По идее железо подойдет любое с минимальными требованиями для установки Windows 7, под начальные задачи это вполне покроет.
Озаботьтесь наличием необходимого количества sata портов для ваших HDD, прикупив контроллеры SATA.
Что касается выбора бюджетной покупки, то я могу очень порекомендовать процессоры компании AMD, т.к их производительность за свою цену меня всегда впечатляла, а сейчас вы можете отыскать большое количество «рублевых» Fxов начального уровня.
+Мат платы дешевле
Очень рекомендую озаботится хорошим корпусом и блоком питания, важно, чтобы корпус для сервера был с противопылевыми фильтрами, был просторен, а при возможности крепления жестких дисков оснащались виброгасящими прокладками.(вы наверняка будете использовать бу жесткие диски, желательно позаботится о приятной среде для этих старичков)
Итак, приступаем?
НЕТ!
Мы забыли самое главное, - расположением сервера территориально.
Это очень важный момент, не важно где вы этот сервер будете настраивать, важно, чтобы в «боевом» состоянии он находился не в вашей собственности, с юридической точки зрения — это колоссальная важность!
Безусловно, ставить его нужно у юридического лица, или попросту «дропа», можно даже на вашей работе воткнуть кабель в свитч, доказать, что вы его принесли и этот сервер имеет отношение к вам — лишняя головная боль для наших друзей.

Теперь приступим.
Итак, мы подключили HDD, настроили bios, все красиво собрали и убедились, что «ничего не стучит»
Подготавливаем нашу флешку с образом дистрибутива, либо вставляем балванку в привод, приступая к установке.
Если у нас 64 битный процессор, то выбираем 64 bit install, если мы не уверены, или нет, то просто «Install»
Я выберу «Graphical install», т.к это будет выглядеть более наглядно в картинках.
1. Выбираем язык и клавиатуру
2. Настраиваем сетевую карту, если у нас нет DHCP
3. Пароль суперпользователя и создаем еще одного пользователя
4. Часовой пояс указываем
5. Разбиваем наши разделы. Напомню, у нас стоит задача объединить разные жесткие диски в один массив и зашифровать разделы.
Мы подобрались к разметке диска
Хорошо!
Теперь нам необходимо создать раздел /boot
Мы создадим его на первом диске:

  • Создать раздел-объем 800mb-начало диска
  • Назначаем точку монтирования и делаем его загрузочным.
  • В завершении выбираем «Настройка диска закончена».

Теперь приступаем к шифрованию разделов. Заходим в «Настроить шифрование для томов» и выбираем «создать зашифрованные тома» Нам необходимо выбрать все «свободное место во всех дисках», то есть все пункты с «free».

Нажимаем «продолжить»
И настраиваем один за другим наши шифрованные разделы, я рекомендую использовать следующие настройки

Практически без потери производительности, с этим настройками ваш сервер не будет сильно «лагать», данные будут в безопасности, эти настройки являются «компромисом» между всеми.
После выбираем «закончить» и у вас спросят «ключевую фразу»
Теперь нам нужно настроить LVM.
Заходим в «Настройка менеджера логических томов LVM»

  • Выбираем «создать группу томов»
  • Называем нашу группу как мы хотим, например «main»
  • Выбираем все устройства из /dev/mapper/**

Приступаем к созданию логических томов.
Нам нужны следующие тома:

  1. Не менее 8гб для /
  2. Не менее нашего объема ОЗУ для swap
  3. Остальное для /home или других точек(не обязательно)

Просто выбираем группу, название тома, например sys, home, swap и т.д, и его объем. Теперь нам необходимо назначить точки монтирования и файловые системы. Думаю не стоит здесь описывать как назначать точки, просто порекомендую использовать файловую систему JFS

Мы работаем только с созданными выше логическими томами LVM!

После назначения всех точек, на нажимаем «Закончить разметку и записать изменения на диск»
Debian установится и после перезагрузки спросит вас ключевую фразу.

Источник: digitalsecuritylaboratory.wordpress.com

Оставить комментарий: