Buenos dias.... hoy sigo con mi proyecto de mejora del server de TKZ, que ya que tengo pendiente actualizar sus discos duros y el OS, pues voy a aprovechar para añadirle un poco de seguridad, porque el acceso y la privacidad de los datos para mi es crucial.
Para los que queráis saber más sobre lo que tengo en mente, os cuento un poco:
- La instalación será Debian 12.10 y tendrá el OS instalado en dos discos duros con RAID1, para que en caso de que haya un fallo de disco duro se pueda reemplazar por otro fácilmente con tolerancia a fallos y alcance completo al OS.
- Además de esto, el disco duro salvo la partición /boot irá encriptado con LUKS
- La clave de LUKS estará en un dispositivo externo (Llave USB) junto a la partición /boot
- Initramfs se encargará de montar este USB y coger automáticamente TODO lo necesario.
- Si el USB no está presente el sistema no arrancará.
- Si el USB está presente el sistema arrancará con su EFI de forma trasparente y sin preocupación.
- En caso de que uno de los HDs falle o la RAID 1 no esté operativa, el sistema reconstruirá la RAID 1 en un nuevo disco manteniendo la encriptación.
- La partición de intercambio (SWAP) también estará encriptada.
Todo esto ya lo he replicado con éxito y hecho funcionar en un entorno virtualizado y ahora me falta pasarlo al servidor, cosa que espero hacer a lo largo de hoy.
La idea principal es que sin el USB de arranque los datos no sean accesibles de ninguna manera, incluso extrayendo los discos duros físicamente, debido a la encriptación.
¿Tenéis alguna sugerencia, matíz o apunte sobre este setup? ¿Qué opinais?
¡Gracias!
Diese Webseite verwendet Cookies. Durch die weitere Benutzung der Webseite stimmst du dieser Verwendung zu. https://inne.city/tos