Isenção de responsabilidade: sou um novato em administração de servidores.
Devo criptografar o diretório inicial de um servidor Ubuntu?
Criptografar o diretório inicial significa também criptografar a pasta .ssh e, portanto, não conseguir acessá-la via ssh se eu não fizer login primeiro no console do servidor. Além disso, significa ser incapaz de resolver qualquer problema remotamente se o servidor for reiniciado de alguma forma.
Criptografar o diretório inicial de um servidor de alta disponibilidade é uma boa prática? Se for, como devo lidar com o problema que mencionei?
Responder1
A primeira pergunta que você deve fazer é"Quais dados eu gostaria de criptografar em meu diretório inicial no servidor?". Se a resposta for"Não sei", então não faça isso.
Se você realmente quiser fazer isso, poderá alterar a localização dos authorized_keysarquivos para outrosegurolocalização em /etc/ssh/sshd_config, por exemplo, conforme descrito em meu outroresponda no AskUbuntu:
AuthorizedKeysFile /etc/ssh/%u/authorized_keys
Isso deve lhe dar a chance de fazer login no servidor, mas ainda assim você precisará inserir a senha para descriptografar a página inicial criptografada posteriormente.
Também é bom considerar o acesso físico. Se você tiver algum servidor em nuvem ou máquina hospedada em outro lugar, o diretório criptografado será inútil. Qualquer pessoa com acesso físico a essa máquina pode ler sua chave de criptografia na memória do seu servidor.