Eu preciso de um servidor Web (LAMP) executando dentro de uma máquina virtual (# 1) executando como um serviço (# 2) no modo sem cabeça (# 3) com parte ou todo o sistema de arquivos criptografado (# 4).
A máquina virtual será iniciada sem intervenção do usuário e fornecerá acesso a um aplicativo Web para usuários na máquina host. Os pontos 1, 2 e 3 são verificados e provaram estar funcionando bem com o Sun VirtualBox, então minha pergunta é para o número 4:
Posso criptografar todo o sistema de arquivos e ainda acessar o servidor da web (usando um navegador) ou o GRUB solicitará uma senha?
Se criptografar todo o sistema de arquivos não for uma opção, posso criptografar apenas /home
e /var/www
? O Apache / PHP poderá usar arquivos dentro /home
ou /var/www
sem solicitar uma senha ou montar essas partições manualmente?
Respostas:
Se você deseja criptografia total de disco, é necessário digitar a senha durante a fase de inicialização, o que provavelmente não é o que você deseja. Eu recomendo que você crie uma partição criptografada usando luks e coloque todos os dados sensíveis nessa partição. Após a inicialização da máquina, você pode colocar ssh na caixa e desbloquear a partição.
Quanto à forma de criptografia, é muito fácil:
Formate a partição com luks:
Desbloqueie a partição com luks:
Formate a partição criptografada com um fs de sua escolha:
Você terminou e agora pode montar
/dev/mapper/encwww
Para desbloquear a partição novamente após uma reinicialização, você precisa:
e depois monte a partição.
fonte
cryptsetup e dm-crypt não estão disponíveis nas distribuições linux padrão e é uma solução bastante exótica, você deve tentar fazê-lo da maneira normal:
aae agora você está pronto para montar / dev / loop0 onde quiser - criptografia forte, feita corretamente; você pode até configurar o seu fstab de uma maneira que permita que a chave de criptografia seja lida a partir de um pendrive USB que precisa ser conectado ao @ boot ... muito mais flexível E seguro -> Nunca siga guias que usam "twofish" ou algo semelhante à criptografia ... esse algoritmo ainda não foi totalmente analisado, ninguém sabe se é seguro.
Ah e: se você deseja segurança além do escopo e do poder das agências secretas: use
em vez de. O daemon de coleta de entropia do Linux fornece valores estatisticamente "bons", mas é muito lento.
E se você é realmente paranóico, compre um dispositivo capaz de receber e medir a radiação cósmica de fundo, conecte-o ao seu computador e deixe-o escrever em / dev / random :-D
fonte