寻找encryption系统,如果有人有物理访问服务器,他们不能克隆硬盘或从中复制数据。 我需要运行的服务,使系统可以完成工作,但我想保护服务器的数据。 在发生停电时,服务器需要能够被任何人重新启动,而不需要input密码。
我将阻止访问USB端口和BIOS。
有没有人有一个想法,我怎么能做到这一点,任何build议将受到欢迎,而且在盒子外思考是可以接受的。
谢谢
如果没有使用专用硬件,这似乎是不可能的。
如果攻击者可以克隆硬盘并在虚拟化环境下启动映像,那么当系统启动时,如果硬件运行在真实的硬件上,则无法100%确定。
如果您的服务器具有硬件TPM,则可以使用TrustedGRUB或tboot等修改后的引导加载程序,以便驱动器的encryption密钥存储在TPM中,并且只有在可以检查操作系统未被篡改时才会被公开。 TPM本身不应该是可复制的。
如果您只想防范盗取HD的人,克隆它并将其放回原处,将密钥存储在TPM中并在启动时读取它可能就足够了,在这种情况下,您不需要受信任的引导加载程序像TrouSerS这样的用户级TPM软件栈。
然而,如果攻击者拿走HD,克隆它,修改启动顺序以在某处泄漏密钥并放回修改的HD,则这是不安全的。 为了防御这个新的攻击,你真的需要运行一个可信的引导程序。
如果您select这样的解决scheme,不要忘记将密钥备份到一些安全的离线存储。 否则,如果主板或TPM发生故障,将很难恢复驱动器。