Haftungsausschluss: Ich bin ein Neuling in der Serveradministration.
Soll ich das Home-Verzeichnis eines Ubuntu-Servers verschlüsseln?
Das Verschlüsseln des Home-Verzeichnisses bedeutet auch das Verschlüsseln des .ssh-Ordners und daher kann ich nicht per SSH darauf zugreifen, wenn ich mich nicht zuerst über die Serverkonsole anmelde. Und außerdem bedeutet es, dass ich kein Problem per Fernzugriff beheben kann, wenn der Server irgendwie neu gestartet wird.
Ist die Verschlüsselung des Home-Verzeichnisses eines Hochverfügbarkeitsservers eine gute Vorgehensweise? Wenn ja, wie gehe ich mit dem erwähnten Problem um?
Antwort1
Die erste Frage, die Sie stellen sollten, ist„Welche Daten möchte ich in meinem Home-Verzeichnis auf dem Server verschlüsseln?“Wenn die Antwort lautet:"Ich weiß nicht", dann tu das nicht.
Wenn Sie das wirklich wollen, können Sie den Speicherort der authorized_keysDateien an einen anderen ändern.sicherStandort in /etc/ssh/sshd_config, zum Beispiel wie in meinem anderen beschriebenAntwort auf AskUbuntu:
AuthorizedKeysFile /etc/ssh/%u/authorized_keys
Dadurch sollten Sie die Möglichkeit haben, sich beim Server anzumelden. Sie müssen jedoch anschließend noch ein Kennwort eingeben, um das verschlüsselte Home zu entschlüsseln.
Auch ein physischer Zugriff ist zu berücksichtigen. Wenn Sie einen Cloud-Server oder eine Maschine haben, die woanders gehostet wird, ist ein verschlüsseltes Verzeichnis nutzlos. Jeder mit physischem Zugriff auf diese Maschine kann Ihren Verschlüsselungsschlüssel aus dem Speicher Ihres Servers lesen.