Cifrado de unidades de disco o sistemas de archivos locales de un servidor de correo electrónico

4

Planeando implementar un correo remoto alojado (basado en Zimbra) Necesito asegurarme de que los datos locales en la máquina estén cifrados. Actualmente, el plan es utilizar el LUKS incorporado para cifrar / opt / zimbra y dejarlo así, sin embargo, dado que no tengo experiencia con el cifrado, estoy buscando opciones o ideas adicionales, especialmente en términos de rendimiento del disco. y la posibilidad de iniciar realmente el host sin ingresar una contraseña de acceso.

Algunos detalles: 500 buzones, 8 núcleos de CPU, 32Gb RAM, 8x discos SAS en raid10. RHEL6 OS

    
pregunta dyasny 10.12.2011 - 18:42
fuente

3 respuestas

5

En términos generales, no puedes. No hay una buena manera de hacer lo que quieres. Todos los enfoques posibles tienen grandes inconvenientes.

Puede activar el cifrado LUKS de la partición. Sin embargo, esto tiene dos desventajas importantes:

  • Alguien tendrá que ingresar la contraseña en la consola cada vez que la máquina arranque. Si la máquina se reinicia, se quedará colgada, esperando a que alguien ingrese la contraseña manualmente, antes de que pueda iniciar el servidor de correo electrónico y acceder a los datos cifrados. Para la mayoría de los escenarios, eso no es aceptable.

  • Más significativamente, el esquema proporciona una seguridad limitada o nula. Supongamos que el servidor se ve comprometido y el pirata informático obtiene el control de la cuenta raíz (o la cuenta en la que se ejecuta el remitente). Entonces el hacker tendrá todos los mismos accesos que el programa de correo. En particular, esto significa que el pirata informático podrá acceder a los correos electrónicos desencriptados, por lo que el cifrado en realidad no sirve de nada contra esta amenaza. La única amenaza que protege es la posibilidad de que el hardware se pierda o sea robado; Si el ladrón apaga el equipo, no podrá recuperar el acceso a los datos, ya que no sabrán la contraseña de LUKS.

Si lo piensas bien, no hay una buena manera de evitar estas limitaciones de seguridad, son casi inevitables. Si un pirata informático compromete su correo, podrá ver todos sus correos electrónicos, en texto claro. (Consulte también mi respuesta en otro lugar para obtener más información).

Por lo tanto, creo que debe pensar detenidamente lo que está tratando de lograr. La criptografía no es un polvo mágico de pixie que puedes rociar en un sistema para hacerla segura. Al preguntar "¿Cómo uso la criptografía?", Se enfocó en un mecanismo particular y asumió implícitamente que la criptografía será la solución a su problema; pero en esta situación, ese puede no ser el caso. Por lo tanto, le sugiero que evite tales suposiciones implícitas y vea si puede articular qué problema, exactamente, está buscando resolver.

La forma estándar de pensar detenidamente sus objetivos es determinar cuál es su modelo de amenaza . Si no tienes un modelo claro de amenazas, te será difícil diseñar un esquema útil. Un modelo de amenaza debe identificar qué tipo de amenazas / ataques / riesgos está tratando de defender y cuáles están fuera del alcance. Una vez que tenga un modelo de amenaza, uno puede comenzar a considerar cuál es el mejor mecanismo. Si desea revisar / actualizar su pregunta con una descripción de lo que está tratando de lograr y el modelo de amenaza que tiene en mente, podemos intentar proporcionarle consejos más útiles.

    
respondido por el D.W. 11.12.2011 - 05:07
fuente
7

El sistema que estás sugiriendo está fundamentalmente en desacuerdo con él mismo. Si se requiere una contraseña para acceder a la unidad, debe ser accesible durante el proceso de arranque. O bien debe estar almacenado en algún lugar o debe ingresarse manualmente.

Si no puede conciliar ese punto, no puede hacer el cifrado en su servidor.

    
respondido por el tylerl 11.12.2011 - 10:56
fuente
3

Al no estar familiarizado específicamente con LUKS, eché un vistazo a su sitio web. Se describe a sí mismo como cifrado de disco duro, sin embargo, pasa al estado "LUKS almacena toda la información de configuración necesaria en el encabezado de la partición", lo que significa que debe implementar el cifrado en el nivel de partición en lugar de en el nivel del disco.

Entonces, solo para agregar a la excelente respuesta de DW anterior, y al aplicar su descripción del modelo de amenaza, puede mantener los datos en una partición separada y encriptada, y retrasar el montaje y el inicio de los daemons relevantes al tiempo que permite que la máquina inicie y habilite el acceso ssh (y la notificación de reinicio a alguien que pueda iniciar sesión y completar el inicio).

    
respondido por el symcbean 11.12.2011 - 13:27
fuente

Lea otras preguntas en las etiquetas