Fidarsi è bene ma non fidarsi è meglio

Pubblicato il da

Per ragioni di banda e per poter avere grandi volumi di dati sempre a disposizione è necessario avere un server online, non un volgare cloud, ma un vero e proprio server di proprietà, posizionato in una server farm.

Il problema dei propri dati nelle mani sbagliate nasce immediatamente, ma possiamo salvarci stando attenti a cifrare i nostri dischi.

Tanto per cominciare bisogna istallare una distribuzione PULITA, per pulita intendo che la dobbiamo scaricare direttamente dal sito ufficiale per evitare di incappare in personalizzazioni non volute o non adatte al nostro scopo.

La maggior parte dei server a basso costo mette a disposizione un sistema di rescue, e noi, sfruttando il rescue ci istalliamo la ns bella debian.

Per essere sicuri che non ci siano porcherie diamo un bel nohup shred /dev/sdTUTTI I DISCHI DISPONIBILI &

il giorno dopo o due giorni dopo troveremo tutti i dischi “PIALLATI”.

A questo punto, visto che non ci saranno brutte sorprese possiamo installare il nostro bel sistema operativo.

Creiamo le nostre belle partizioni, le formattiamo e le montiamo nel rescue.

A questo punto un bel debootstrap e ci istalliamo la nostra distribuzione preferita.

Un sano chroot e ci configuriamo la nostra bella distribuzione PULITA

A questo punto io consiglio di scaricare i sorgenti del compilatore, compilare il compilatore e con il compilatore compilato, compilare il kernel che desideriamo (bello lo sciogli lingua?)

Istalliamo il boot loader e riavviamo.

Purtroppo non abbiamo la tastiera e la macchina si trova lontano, per evitare pericolosi ficcanaso, consiglio di rimuovere completamente supporto usb, seriali, parallele, ps2 e quant’altro di inutile, anche la scheda video è qualcosa di inutile, pertanto possiamo tranquillamente non nomenclarla nel ns kernel.

A questo punto se la nostra distribuzione funziona passiamo alla preparazione dei dischi VIRTUALI

Creiamo una bella direcrory /disk che conterrà i file disco

Creiamo una bella directory /work che conterrà i dischi cifrati in chiaro

installiamo il software necessario apt-get install cryptsetup initramfs-tools -y

aggiungiamo i moduli

echo aes-i586 >>/etc/initramfs-tools/modules
echo dm-crypt >>/etc/initramfs-tools/modules
echo dm-mod >>/etc/initramfs-tools/modules

un sano update-initramfs -k all -u

riavviamo per stare tranquilli, anche se non è necessario farlo adesso

Creiamo il nostro primo disco virtuale della capacità che desideriamo, supponendo di voler avere un disco da 10 Gb dd if=/dev/urandom of=/disk/disco1.img ibs=1G count=10
Se vogliamo stare più tranquilli aggiungiamo un shred.

Il contenitore disco è pronto, adesso dobbiamo renderlo un disco cifrato.

/sbin/losetup /dev/loop0 (o altro loop disponibile) /disk/disco1.img

mettiamo la nostra bella PASSPHRASE e procediamo spediti

A questo punto

cryptsetup luksOpen /dev/loop0 disco1cifrato creerà una /dev/mapper/disco1cifrato

mkfs -t ext3 /dev/mapper/disco1cifrato formatterà il nostro disco virtuale

mkdir /work/disco1 creerà il punto di mount del nostro disco 1

mount -t auto /dev/mapper/disco1cifrato /work/disco1

ed il gioco è fatto …

Per smontare i dischi umount /work/disco1 (o comunque la posizione)
Per chiudere il disco /sbin/cryptsetup luksClose disco1cifrato

A questo punto, possiamo creare un vero e proprio sistema operativo cifrato che fa il boot in chiaro.

Una volta fatto il boot è sufficiente montare un disco cifrato e charoot del disco cifrato.

Ultima cosa, un mal intenzionato potrebbe compromettere il nostro kernel in chiaro sulla partizione di boot istruendolo ad inviare tutto ciò che digitiamo, per ovviare a questo problema teniamo traccia del md5 del nostro kernel e confrontiamolo periodicamente.

Altro consiglio, un server in una server farm non è fatto ne per essere spento ne per essere riavviato, se notate che il server è stato riavviato da qualcuno che non siete voi, reistallate completamente il sistema operativo prima di montare i dischi cifrati.

Un bel sistema per rimontare il sistema operativo con poco sforzo è backupparlo appena istallato, quindi riavviare con il resque e tar cvfz partizione1.tgz /dev/partizione1 tar partizione2.tgz /dev/partizione2 etc etc
In caso di dubbio ripristinare le partizioni dopo averle PIALLATE a dovere.

Per Piallare le partizioni è sufficiente un dd if=/dev/zero of=/dev/partizionedapiallare

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

This site uses Akismet to reduce spam. Learn how your comment data is processed.