escuela-comun/abyayala
1
0
Fork 0
Code Issues 32 Pull Requests Packages Projects Releases Wiki Activity

cifrado de disco #37

New Issue
Open
opened 2025-05-27 16:54:41 +00:00 by fauno · 8 comments
fauno commented 2025-05-27 16:54:41 +00:00
Owner
Copy Link

repensemos cómo resolver el tema cifrado de disco. tendría que ser simple, remoto y colaborativo para las organizaciones

repensemos cómo resolver el tema cifrado de disco. tendría que ser simple, remoto y colaborativo para las organizaciones
fauno commented 2025-05-27 17:01:51 +00:00
Author
Owner
Copy Link

me imagino algo donde les operadores reciben una notificación preguntándoles si quieren activar decifrar el disco, entonces para que una computadora termine de bootear tiene que estar conectada a internet y une operadore tiene que dar el ok, pero no necesariamente estar en el mismo lugar fisico

me imagino algo donde les operadores reciben una notificación preguntándoles si quieren activar decifrar el disco, entonces para que una computadora termine de bootear tiene que estar conectada a internet y une operadore tiene que dar el ok, pero no necesariamente estar en el mismo lugar fisico
fauno commented 2025-05-27 17:03:23 +00:00
Author
Owner
Copy Link

el tema con el cifrado de disco es que nunca es completo, siempre hay una parte que no se puede decifrar. lo más que he logrado es todo el mismo menos el grub, que me pide la contraseña para iniciar.

en este caso para poder desbloquear un servidor desde el grub habría que tener un monitor físico o remoto para poder entrar y tipearla.

no sé si hay plugins de grub que permiten acceso remoto estilo ssh.

el tema con el cifrado de disco es que nunca es completo, siempre hay una parte que no se puede decifrar. lo más que he logrado es todo el mismo menos el grub, que me pide la contraseña para iniciar. en este caso para poder desbloquear un servidor desde el grub habría que tener un monitor físico o remoto para poder entrar y tipearla. no sé si hay plugins de grub que permiten acceso remoto estilo ssh.
fauno commented 2025-05-27 17:13:28 +00:00
Author
Owner
Copy Link

según esto https://unix.stackexchange.com/questions/659190/unlock-grub-bootloader-password-remotely

podríamos:

  1. instalar el sistema en modo uefi, de forma que no se pueda modificar el bootloader
  2. instalar dropbear-initramfs para que te puedas conectar por ssh a escribir la contraseña

esto implicaría que /boot no esté cifrado, pero cualquier modificación resultaría en un error.

2 se puede reemplazar con otra cosa que permita aplicar el secreto de desbloqueo remotamente sin tener que sentarse a tipear una contraseña largota por el celular.

me imagino algo así:

  1. grub inicia en modo uefi
  2. bootea linux, que llega hasta el paso de desbloquear discos
  3. un servidor de secretos envía la notificación
  4. operadore(s) recibe(n) una notificación diciendo que la huerta necesita que le permitan iniciar
  5. al decir que sí, se le pide una contraseña o una forma de autenticación personal
  6. el servidor comprueba la autorización
  7. la huerta inicia

tiene sentido? existirá algo así?

según esto https://unix.stackexchange.com/questions/659190/unlock-grub-bootloader-password-remotely podríamos: 1. instalar el sistema en modo uefi, de forma que no se pueda modificar el bootloader 2. instalar dropbear-initramfs para que te puedas conectar por ssh a escribir la contraseña esto implicaría que `/boot` no esté cifrado, pero cualquier modificación resultaría en un error. 2 se puede reemplazar con otra cosa que permita aplicar el secreto de desbloqueo remotamente sin tener que sentarse a tipear una contraseña largota por el celular. me imagino algo así: 1. grub inicia en modo uefi 2. bootea linux, que llega hasta el paso de desbloquear discos 3. un servidor de secretos envía la notificación 4. operadore(s) recibe(n) una notificación diciendo que la huerta necesita que le permitan iniciar 5. al decir que sí, se le pide una contraseña o una forma de autenticación personal 6. el servidor comprueba la autorización 7. la huerta inicia tiene sentido? existirá algo así?
fauno commented 2025-05-27 17:14:18 +00:00
Author
Owner
Copy Link

recuerdo que había un proyecto donde en una red de servidores cifrados, si se apagan todos, en vez de poner la contraseña de cada uno, solo había que desbloquear uno para que todos se desbloqueen contra ese. pero me olvidé el nombre y nunca más lo volví a encontrar

recuerdo que había un proyecto donde en una red de servidores cifrados, si se apagan todos, en vez de poner la contraseña de cada uno, solo había que desbloquear uno para que todos se desbloqueen contra ese. pero me olvidé el nombre y nunca más lo volví a encontrar
fauno commented 2025-06-04 16:41:39 +00:00
Author
Owner
Copy Link

tercera opción es solo cifrar la partición de datos

  • grub, /boot y /root quedan abiertos
  • no es necesario uefi pero estaría bien
  • vpn y ssh disponibles apenas inicia
  • /var/lib/docker se desbloquea luego de iniciar
  • docker se inicia despues de desbloquear
tercera opción es solo cifrar la partición de datos * grub, /boot y /root quedan abiertos * no es necesario uefi pero estaría bien * vpn y ssh disponibles apenas inicia * /var/lib/docker se desbloquea luego de iniciar * docker se inicia despues de desbloquear
fauno commented 2025-06-04 16:47:46 +00:00
Author
Owner
Copy Link

en general, requisitos:

  • que se pueda encender remotamente, porque no siempre hay gente a mano
  • que sea lo mas seguro que podamos
  • que resista olvidos de contraseñas
en general, requisitos: * que se pueda encender remotamente, porque no siempre hay gente a mano * que sea lo mas seguro que podamos * que resista olvidos de contraseñas
fauno commented 2025-06-04 16:47:59 +00:00
Author
Owner
Copy Link

quedamos en convocar a la comisión de cuidados acá

quedamos en convocar a la comisión de cuidados acá
cyborg_yogui was assigned by fauno 2025-06-11 16:26:35 +00:00
pirra was assigned by fauno 2025-06-11 16:26:35 +00:00
fauno added the due date 2025-06-18 2025-06-11 16:31:56 +00:00
pirra commented 2025-06-13 16:46:42 +00:00
Owner
Copy Link

La primera opción me parece buena, es similar a esta documentación que vi: https://www.reddit.com/r/sysadmin/comments/j8iitv/how_to_mount_an_encrypted_disk_with_luks_remotely/?tl=es-es#:~:text=El%20servidor%20SSH%20dropbear%20se%20instala%20en,gestor%20de%20arranque%2C%20y%20luego%20ya%20est%C3%A1.

Aún así, ya está el tema discutiéndose en la comisión de cuidados

La primera opción me parece buena, es similar a esta documentación que vi: [https://www.reddit.com/r/sysadmin/comments/j8iitv/how_to_mount_an_encrypted_disk_with_luks_remotely/?tl=es-es#:~:text=El%20servidor%20SSH%20dropbear%20se%20instala%20en,gestor%20de%20arranque%2C%20y%20luego%20ya%20est%C3%A1.](https://www.reddit.com/r/sysadmin/comments/j8iitv/how_to_mount_an_encrypted_disk_with_luks_remotely/?tl=es-es#:~:text=El%20servidor%20SSH%20dropbear%20se%20instala%20en,gestor%20de%20arranque%2C%20y%20luego%20ya%20est%C3%A1.) Aún así, ya está el tema discutiéndose en la comisión de cuidados
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
Labels
No items
No Label
Milestone
No items
No Milestone
Projects
Clear projects
No project
Assignees
Clear assignees
ChasquiLabo cyborg_yogui fauno l4uZP Numerica pirra
No Assignees cyborg_yogui pirra
2 Participants
Notifications
Due Date
2025-06-18
Dependencies

No dependencies set.

Reference: escuela-comun/abyayala#37
No description provided.
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?