FreeBSD mit ZFS verschlüsselt auf einem Remoteserver Installieren

satriani

satriani

SysLion
Hallo liebe Freunde,

der Titel sagt eig. alles. Ich habe neuen Auftrag, der Auftragsgeber wünscht ein FreeBSD 10.0 mit ZFS auf einem Hetzter-Server (da läuft derzeit Debian). Das komplette Server muss verschlüsselt sein.

Ich weiß wie ich meine Maschine mit GELI verschlüsseln kann, doch das Vergnügen mit einem Server, zu dem ich keinen direkten Zugriff habe, hatte ich noch nicht.
Daher bitte ich um Rat und Tipps, wie ich das am besten umsetzten kann.

Gruß.
 
Frag bei Hetzner an ob du eine Lara drann gehängt bekommst, dann ist es wie auf deinem eigenen Rechner?!

Die Frage die ich mir stelle ist eher, welchen Sinn es macht einen Remote-Server zu verschlüsseln?! Auf den ich nur per Remote zugreifen kann. Bei jedem Neustart brauchst du wieder eine Lara. Außerdem ist an zig Stellen das Abgreifen des Kennworts theoretisch möglich, so dass eine Verschlüsselung auch nicht wirklich Zweck dienlich ist. Es macht meines Erachtens nach keinen Sinn, einen PC auf den man Physisch keinen Zugriff hat komplett zu verschlüsseln.
 
Zuletzt bearbeitet:
Hey @satriani ... ich habe (bis auf die Verschlüsselung) gerade genau dasselbe gemacht :) Einfach die LARA bestellen, dann das ISO-Image von FreeBSD 10 einbinden und installieren. Ich habe das große Image genommen, nicht bootonly, weil er mit der IP-Konfiguration nicht sofort klar kommt (Hetzner hat da ein paar Besonderheiten). Am Ende des Setups unbedingt per LARA einen User anlegen der in WHEEL ist und ein Passwort hat, der Rest geht dann per SSH :D

Das Image durch die LARA hindruch quälen dauert was. Hatte diesmal die Möglichkeit es über das Uni-Netz zu machen, dann gehts was schneller.

Nachtrag, hier die grundlegende IP-Konfiguration:
http://www.bsdforen.de/threads/freebsd-10-firewall-pf-liest-die-regeln-nicht.30727/
 
kmh schrieb:
Die Frage die ich mir stelle ist eher, welchen Sinn es macht einen Remote-Server zu verschlüsseln?!
Zum Vergrößern anklicken....
Das ist 'ne gute Frage. Verschlüsselung hilft nämlich nur, wenn die Kiste aus ist.

Verschlüsselung hilft logischerweise nicht, wenn die Kiste geownt wird. Sie hilft auch nicht, wenn die... ähm... "Angreifer" Zugriff auf die noch laufende Hardware haben, da der Schlüssel dann aus dem Speicher geholt werden kann (z.B. mittels Kaltstartattache oder über DMA ein Speicherabbild erzeugen und anschließend den Schlüssel finden).
 
Danke Freunde.
Also, das mit der Passphrase ist mir auch nicht klar wie ich das zu bewältigen habe :confused:
Der SSH-Dienst startet ja erst nach der Passphrase-Abfrage. Ich kann doch nicht nach jeden Neustart die Lara verlangen.
Hat jemand eine Idee?
@Vektoren: du brauchst eig. kein Lara für die Installation, das kannst du doch im Rescue erledigen.
 
Also wenn dein Hoster eine Serielle-Konsole anbietet, könntest du es darüber eingeben.

Warum soll die Kiste denn überhaupt -komplett- verschlüsselt werden?
 
Es soll angeblich eine vertrauliche Datenbank eingerichtet werden und die wollen sicher sein, dass niemand eine Einsicht darauf hat.
Ist es möglich das System booten zu lassen und komplettes System zu laden oder wenigstens SSH-Dienst zu starten? So, dass man praktisch über der SSH-Verbindung die Passphrase eingeben kann.
 
Verschlüsselt halt nur die Daten Partition für die DB.
Aber solang diese von der Welt erreichbar ist wenn der Dienst läuft....
 
Hoi,

warum umständlich wenn`s au einfach geht ? - Einfach den Inhalt der Datenbank verschlüsseln und gut ist es.

Gruß Bummibär
 
Ich habe die Platte entsprechend partitioniert und arbeite mit Jails. Der Host läuft unverschlüsselt und kann so sauber hoch fahren. Die Jails liegen in einer geli-partiotion und werden von Hand (per ssh) durch ein Script eingebunden und gestartet. Dort wird dann das Kennwort verlangt.
 
satriani schrieb:
Es soll angeblich eine vertrauliche Datenbank eingerichtet werden und die wollen sicher sein, dass niemand eine Einsicht darauf hat.
Zum Vergrößern anklicken....
Dann gehört der Server nicht ans Internet sondern in ein eigenes NETZ in der Firma! Über die DMZ kann man dann darauf zugreifen, wenn man an der FW den IP Range freigibt welcher verbinden möchte.
 
Wenn die Anwendung selbst die Daten verschlüsselt, kann die DB bleiben wie sie ist. Dann hast du nur wieder das Problem des Schlüsselmanagements auf dem Anwendungsserver...

Gruß
Markus
 
Danke Leute für eure Vorschläge. Ich werde morgen mit den telefonieren und schildere die Situation. Mal sehen was sie dazu sagen.
Ich hoffe fie laufen mir nicht weg^^
 
Manchmal ist das nicht schlimm, wenn einer wegläuft - das erspart einem selber eine Menge Zeit und Nerven. ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben