Me gustaría implementar el cifrado de disco completo en todos los clientes. Pero para evitar que la gente ingrese el código de acceso FDE cuando arrancan, me pregunto si el código de acceso se puede distribuir mediante DHCP o similar.
La idea es que FDE proteja el portátil cuando es robado o fuera de la empresa, pero si se utiliza en la red de la empresa asumimos que no es robado.
Idealmente, me gustaría que el código de acceso fuera un código de acceso único, de modo que si alguien huele la respuesta DHCP, no podrá descifrar la computadora portátil en general.
Respuesta1
Dado que esto probablemente implicará escribir un Initramfs personalizado, o al menos un gancho, estos recursos pueden resultarle interesantes (ignore los bits específicos de Gentoo):
- https://wiki.gentoo.org/wiki/Custom_Initramfs
- https://wiki.gentoo.org/wiki/Custom_Initramfs#DHCP
- https://wiki.gentoo.org/wiki/Custom_Initramfs/Examples#Self-Decrypting_Server
El ejemplo del servidor de autodescifrado genera una clave de cifrado como esta:
(
# CPU:
grep -vE '(MHz|bogomips)' /proc/cpuinfo
# RAM:
tail /proc/iomem
# MAC-Address: (requires network drivers)
cat /sys/class/net/*/address
# Block devices and partitions (ignore optional CD drive):
grep -v sr0 /proc/partitions
# Random file:
cat /root/secret
) | sha512sum | xargs echo -n > /root/key
Se supone que esto protege contra alguien que pase por su servidor y saque los discos duros; el disco duro por sí solo no conoce la CPU, la RAM ni la dirección MAC del servidor, por lo que no puede descifrarse fuera de la caja a la que pertenece.
En el caso de una computadora portátil (donde se roba todo el dispositivo), esto no es útil ya que el ladrón tendría todos esos datos junto con ella, por lo que debe reemplazarlos con sus datos DHCP.
Entonces, después de obtener la dirección IP y demás a través de DHCP, podría ser algo como:
(
cat /sys/class/net/*/address
ip addr show
ip route show
cat /etc/resolv.conf
) | sha512sum | xargs echo -n > /root/key
Y eso le daría un hash/frase de contraseña basada en su dirección MAC, la dirección IP y la ruta, y los servidores DNS y demás.
Funcionaría siempre y cuando DHCP siempre configure la computadora portátil de la misma manera, por lo que el servidor DHCP tendría que recordar la configuración de la computadora portátil para siempre o la computadora portátil dejará de iniciarse.
Esta solución siempre es un poco volátil, así que asegúrese de utilizar LUKS que admita varias frases de contraseña y tenga una frase de contraseña de respaldo lista en caso de que la DHCP se rompa.
Tampoco es muy seguro; Esta información de DHCP es pública (para quien usa la computadora portátil) y probablemente no sea difícil de adivinar (para cualquiera que use una computadora portátil diferente en el mismo entorno), por lo que protegerá contra el ladrón promedio, pero no contra el compañero de trabajo ligeramente experto en tecnología. infierno.