Необходимо зашифровать систему, чтобы, если кто-то имеет физический доступ к серверу, он не может клонировать жесткий диск или копировать с него данные. Мне нужно, чтобы службы работали так, чтобы система могла выполнять свою работу, но я хочу защитить данные серверов. Сервер должен иметь возможность перезапускать кого угодно в случае отключения электроэнергии без необходимости ввода пароля.
Я заблокирую доступ к USB-портам и биосу.
Есть ли у кого-нибудь представление о том, как я могу это сделать, любые предложения приветствуются, и нестандартное мышление приемлемо.
Спасибо
В общем, это невозможно без использования специального оборудования.
Если злоумышленник может клонировать жесткий диск и загрузить образ в режиме виртуализации, при загрузке системы он никогда не может быть уверен на 100%, работает он на реальном оборудовании или нет.
Если на вашем сервере есть аппаратный TPM, вы можете использовать модифицированный загрузчик, такой как TrustedGRUB или tboot, чтобы ключи шифрования для диска хранились в TPM и были раскрыты только в том случае, если он сможет проверить, что ОС не была взломана. Сам TPM не должен быть клонируемым.
Если вы хотите защитить себя только от кражи жесткого диска, его клонирования и установки на место, достаточно сохранить ключ в TPM и прочитать его при загрузке, и в этом случае вам не нужен надежный загрузчик, просто программный стек пользовательского TPM, такой как TrouSerS.
Однако это небезопасно, если злоумышленник берет HD, клонирует его, изменяет последовательность загрузки для утечки ключей и возвращает измененный HD. Чтобы защититься от этой новой атаки, вам действительно нужно запустить надежный загрузчик.
Если вы выберете такое решение, не забудьте сделать резервную копию ключей в безопасное автономное хранилище. В противном случае будет сложно восстановить диски, если материнская плата или TPM выйдет из строя.