escuela-comun/abyayala
1
0
Fork 0
Code Issues 45 Pull Requests 1 Packages Projects Releases Wiki Activity

cifrado de disco #37

New Issue
Open
opened 2025-05-27 16:54:41 +00:00 by fauno · 17 comments
fauno commented 2025-05-27 16:54:41 +00:00
Owner
Copy Link

repensemos cómo resolver el tema cifrado de disco. tendría que ser simple, remoto y colaborativo para las organizaciones

repensemos cómo resolver el tema cifrado de disco. tendría que ser simple, remoto y colaborativo para las organizaciones
fauno commented 2025-05-27 17:01:51 +00:00
Author
Owner
Copy Link

me imagino algo donde les operadores reciben una notificación preguntándoles si quieren activar decifrar el disco, entonces para que una computadora termine de bootear tiene que estar conectada a internet y une operadore tiene que dar el ok, pero no necesariamente estar en el mismo lugar fisico

me imagino algo donde les operadores reciben una notificación preguntándoles si quieren activar decifrar el disco, entonces para que una computadora termine de bootear tiene que estar conectada a internet y une operadore tiene que dar el ok, pero no necesariamente estar en el mismo lugar fisico
fauno commented 2025-05-27 17:03:23 +00:00
Author
Owner
Copy Link

el tema con el cifrado de disco es que nunca es completo, siempre hay una parte que no se puede decifrar. lo más que he logrado es todo el mismo menos el grub, que me pide la contraseña para iniciar.

en este caso para poder desbloquear un servidor desde el grub habría que tener un monitor físico o remoto para poder entrar y tipearla.

no sé si hay plugins de grub que permiten acceso remoto estilo ssh.

el tema con el cifrado de disco es que nunca es completo, siempre hay una parte que no se puede decifrar. lo más que he logrado es todo el mismo menos el grub, que me pide la contraseña para iniciar. en este caso para poder desbloquear un servidor desde el grub habría que tener un monitor físico o remoto para poder entrar y tipearla. no sé si hay plugins de grub que permiten acceso remoto estilo ssh.
fauno commented 2025-05-27 17:13:28 +00:00
Author
Owner
Copy Link

según esto https://unix.stackexchange.com/questions/659190/unlock-grub-bootloader-password-remotely

podríamos:

  1. instalar el sistema en modo uefi, de forma que no se pueda modificar el bootloader
  2. instalar dropbear-initramfs para que te puedas conectar por ssh a escribir la contraseña

esto implicaría que /boot no esté cifrado, pero cualquier modificación resultaría en un error.

2 se puede reemplazar con otra cosa que permita aplicar el secreto de desbloqueo remotamente sin tener que sentarse a tipear una contraseña largota por el celular.

me imagino algo así:

  1. grub inicia en modo uefi
  2. bootea linux, que llega hasta el paso de desbloquear discos
  3. un servidor de secretos envía la notificación
  4. operadore(s) recibe(n) una notificación diciendo que la huerta necesita que le permitan iniciar
  5. al decir que sí, se le pide una contraseña o una forma de autenticación personal
  6. el servidor comprueba la autorización
  7. la huerta inicia

tiene sentido? existirá algo así?

según esto https://unix.stackexchange.com/questions/659190/unlock-grub-bootloader-password-remotely podríamos: 1. instalar el sistema en modo uefi, de forma que no se pueda modificar el bootloader 2. instalar dropbear-initramfs para que te puedas conectar por ssh a escribir la contraseña esto implicaría que `/boot` no esté cifrado, pero cualquier modificación resultaría en un error. 2 se puede reemplazar con otra cosa que permita aplicar el secreto de desbloqueo remotamente sin tener que sentarse a tipear una contraseña largota por el celular. me imagino algo así: 1. grub inicia en modo uefi 2. bootea linux, que llega hasta el paso de desbloquear discos 3. un servidor de secretos envía la notificación 4. operadore(s) recibe(n) una notificación diciendo que la huerta necesita que le permitan iniciar 5. al decir que sí, se le pide una contraseña o una forma de autenticación personal 6. el servidor comprueba la autorización 7. la huerta inicia tiene sentido? existirá algo así?
fauno commented 2025-05-27 17:14:18 +00:00
Author
Owner
Copy Link

recuerdo que había un proyecto donde en una red de servidores cifrados, si se apagan todos, en vez de poner la contraseña de cada uno, solo había que desbloquear uno para que todos se desbloqueen contra ese. pero me olvidé el nombre y nunca más lo volví a encontrar

recuerdo que había un proyecto donde en una red de servidores cifrados, si se apagan todos, en vez de poner la contraseña de cada uno, solo había que desbloquear uno para que todos se desbloqueen contra ese. pero me olvidé el nombre y nunca más lo volví a encontrar
fauno commented 2025-06-04 16:41:39 +00:00
Author
Owner
Copy Link

tercera opción es solo cifrar la partición de datos

  • grub, /boot y /root quedan abiertos
  • no es necesario uefi pero estaría bien
  • vpn y ssh disponibles apenas inicia
  • /var/lib/docker se desbloquea luego de iniciar
  • docker se inicia despues de desbloquear
tercera opción es solo cifrar la partición de datos * grub, /boot y /root quedan abiertos * no es necesario uefi pero estaría bien * vpn y ssh disponibles apenas inicia * /var/lib/docker se desbloquea luego de iniciar * docker se inicia despues de desbloquear
fauno commented 2025-06-04 16:47:46 +00:00
Author
Owner
Copy Link

en general, requisitos:

  • que se pueda encender remotamente, porque no siempre hay gente a mano
  • que sea lo mas seguro que podamos
  • que resista olvidos de contraseñas
en general, requisitos: * que se pueda encender remotamente, porque no siempre hay gente a mano * que sea lo mas seguro que podamos * que resista olvidos de contraseñas
fauno commented 2025-06-04 16:47:59 +00:00
Author
Owner
Copy Link

quedamos en convocar a la comisión de cuidados acá

quedamos en convocar a la comisión de cuidados acá
cyborg_yogui was assigned by fauno 2025-06-11 16:26:35 +00:00
pirra was assigned by fauno 2025-06-11 16:26:35 +00:00
fauno added the due date 2025-06-18 2025-06-11 16:31:56 +00:00
pirra commented 2025-06-13 16:46:42 +00:00
Owner
Copy Link

La primera opción me parece buena, es similar a esta documentación que vi: https://www.reddit.com/r/sysadmin/comments/j8iitv/how_to_mount_an_encrypted_disk_with_luks_remotely/

Aún así, ya está el tema discutiéndose en la comisión de cuidados

La primera opción me parece buena, es similar a esta documentación que vi: [https://www.reddit.com/r/sysadmin/comments/j8iitv/how_to_mount_an_encrypted_disk_with_luks_remotely/](https://www.reddit.com/r/sysadmin/comments/j8iitv/how_to_mount_an_encrypted_disk_with_luks_remotely/) Aún así, ya está el tema discutiéndose en la comisión de cuidados
pirra commented 2025-06-18 15:02:09 +00:00
Owner
Copy Link

Desde la Comisión de Seguridad hemos avanzado en pensar algunas soluciones al cifrado de disco:

1.- Que se pueda encender remotamente, porque no siempre hay gente a mano:
-Instalar servidor SSH Dropbear en initramfs con el sistema instalado en modo UEFI
#37 (comment)
#37 (comment)

2.- Que sea lo mas seguro que podamos
-El /boot no estaría cifrado, pero cualquier modificación resultaría en un error.
-Usar metedología de secret sharing que bien puede ser un sistema de Keyrings https://grahamwatts.co.uk/gnome-secrets/
(Aunque esto no soluciona teclear una contraseña compleja en teclado pequeño de smartphone, se puede tener la contraseña en un KeepassXC desde smartphone y de ahí copiar-pegar pero no es algo taaan seguro, quizá mejor recomendar si usar la computadora para este caso)

3.- Que resista olvidos de contraseñas
-Tener la contraseña en un gestor de llaves KeepassXC o Vaultwarden
-La contraseña maestra de este gestor que lo tengan por lo menos dos personas de la organización que tiene el server y aparte valorar si se comparte la contraseña de descifrado con el/la wayki
-Hacer una "caja fuerte de contraseñas" con un gestor de contraseñas que contengan los accesos de descifrado y que se encargue una comisión de su resguardo, y sólo se abra "en caso de fuerza mayor" (discutir más esta propuesta)

Desde la Comisión de Seguridad hemos avanzado en pensar algunas soluciones al cifrado de disco: 1.- Que se pueda encender remotamente, porque no siempre hay gente a mano: -Instalar servidor SSH Dropbear en initramfs con el sistema instalado en modo UEFI https://git.coopcloud.tech/escuela-comun/abyayala/issues/37#issuecomment-24582 https://git.coopcloud.tech/escuela-comun/abyayala/issues/37#issuecomment-24727 2.- Que sea lo mas seguro que podamos -El /boot no estaría cifrado, pero cualquier modificación resultaría en un error. -Usar metedología de secret sharing que bien puede ser un sistema de Keyrings https://grahamwatts.co.uk/gnome-secrets/ (Aunque esto no soluciona teclear una contraseña compleja en teclado pequeño de smartphone, se puede tener la contraseña en un KeepassXC desde smartphone y de ahí copiar-pegar pero no es algo taaan seguro, quizá mejor recomendar si usar la computadora para este caso) 3.- Que resista olvidos de contraseñas -Tener la contraseña en un gestor de llaves KeepassXC o Vaultwarden -La contraseña maestra de este gestor que lo tengan por lo menos dos personas de la organización que tiene el server y aparte valorar si se comparte la contraseña de descifrado con el/la wayki -Hacer una "caja fuerte de contraseñas" con un gestor de contraseñas que contengan los accesos de descifrado y que se encargue una comisión de su resguardo, y sólo se abra "en caso de fuerza mayor" (discutir más esta propuesta)
fauno commented 2025-06-18 15:22:29 +00:00
Author
Owner
Copy Link

@pirra @cyborg_yogui tuvieron en cuenta que para que el dropbear sea alcanzable desde internet, el initramfs también tendría que tener la vpn funcionando? escribimos un plugin de initramfs entonces para que incluya la vpn, si no existe ya?

@pirra @cyborg_yogui tuvieron en cuenta que para que el dropbear sea alcanzable desde internet, el initramfs también tendría que tener la vpn funcionando? escribimos un plugin de initramfs entonces para que incluya la vpn, si no existe ya?
fauno commented 2025-06-25 15:22:46 +00:00
Author
Owner
Copy Link

quedamos que se convocaba a reunion de trabajo huertas + cuidados para dirimir esta cuestion

quedamos que se convocaba a reunion de trabajo huertas + cuidados para dirimir esta cuestion
fauno commented 2025-06-25 15:24:28 +00:00
Author
Owner
Copy Link

mañana se suma beto a la reunión de cuidados

mañana se suma beto a la reunión de cuidados
Numerica was assigned by fauno 2025-06-25 15:24:37 +00:00
fauno modified the due date from 2025-06-18 to 2025-06-26 2025-06-25 15:57:09 +00:00
fauno added this to the Milestone 1 project 2025-06-25 15:57:21 +00:00
fauno added the
prioridad alta
 label 2025-06-25 15:57:29 +00:00
fauno moved this to hacer in Milestone 1 on 2025-06-25 15:57:42 +00:00
fauno moved this to Uncategorized in Milestone 1 on 2025-06-25 15:57:55 +00:00
fauno added a new dependency 2025-06-25 16:24:52 +00:00
#44 documentar la instalación del sistema operativo
fauno removed the
prioridad alta
 label 2025-06-25 16:27:57 +00:00
fauno removed this from the Milestone 1 project 2025-06-25 16:28:05 +00:00
Numerica added the
huerta
prioridad alta
 labels 2025-06-25 17:01:31 +00:00
Numerica added this to the Milestone 1 milestone 2025-06-25 17:01:49 +00:00
Numerica commented 2025-06-26 16:45:47 +00:00
Owner
Copy Link

por qué no simplemente agregar el formateo del disco al proceso de instalación, y lo guardamos en un par de keepass #44

luego pensamos en encendido remoto #54

y mejoramos el secret sharing #53

por qué no simplemente agregar el formateo del disco al proceso de instalación, y lo guardamos en un par de keepass #44 luego pensamos en encendido remoto #54 y mejoramos el secret sharing #53
fauno commented 2025-06-26 17:47:27 +00:00
Author
Owner
Copy Link

@Numerica esto salió de la reunión de hoy?

@Numerica esto salió de la reunión de hoy?
Numerica commented 2025-06-26 17:57:18 +00:00
Owner
Copy Link

sip @fauno

sip @fauno
Numerica commented 2025-06-26 18:14:35 +00:00
Owner
Copy Link

es decir, esto se puede ir pensando por partes.

1 - el cifrado del disco, lo mas simple es al momento de la instalacion
2- la gestión de secretos. parte desde la parte pedagógica con keepass, eventualmente BDs
3- encendido remoto. este se complejiza con el cifrado del disco

es decir, esto se puede ir pensando por partes. 1 - el cifrado del disco, lo mas simple es al momento de la instalacion 2- la gestión de secretos. parte desde la parte pedagógica con keepass, eventualmente BDs 3- encendido remoto. este se complejiza con el cifrado del disco
fauno added the
cuidados
ahorita lo resolvemos
 labels 2025-07-02 15:24:28 +00:00
l4uZP removed the
prioridad alta
 label 2025-07-25 20:45:17 +00:00
pirra commented 2025-08-29 18:08:25 +00:00
Owner
Copy Link

Este Issue se está atendiendo por partes en:

  • Que se pueda encender remotamente, porque no siempre hay gente a mano #54
  • Que resista olvidos de contraseñas #53
  • Se va a documentar en la instalación del sistema operativo #44
# Este Issue se está atendiendo por partes en: - Que se pueda encender remotamente, porque no siempre hay gente a mano [#54](https://git.coopcloud.tech/escuela-comun/abyayala/issues/54) - Que resista olvidos de contraseñas [#53](https://git.coopcloud.tech/escuela-comun/abyayala/issues/53) - Se va a documentar en la instalación del sistema operativo [#44](https://git.coopcloud.tech/escuela-comun/abyayala/issues/44)
pirra added
haciendo
 and removed
ahorita lo resolvemos
 labels 2025-09-10 13:17:28 +00:00
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
Labels
Clear labels
ahorita lo resolvemos
Pendientes de definición
cuidados
Comisión de cuidados
hacer
Listos para desarrollar
haciendo
Estamos trabajando
huerta
Implementar en una huerta
no pasó el test
El testeo falló, hay que revisarlo
prioridad alta
A desarrollar primero
prioridad baja
A desarrollar opcionalmente, si nos da el tiempo
proxy
Implementar en el proxy
rap
Para resolver en la red
testear
Listos para testear
No Label
cuidados
haciendo
huerta
Milestone
No items
No Milestone Milestone 1
Projects
Clear projects
No project
Assignees
Clear assignees
ChasquiLabo cyborg_yogui fauno l4uZP Numerica pirra
No Assignees cyborg_yogui pirra Numerica
3 Participants
Notifications
Due Date
2025-06-26
Blocks
#44 documentar la instalación del sistema operativo
escuela-comun/abyayala
Reference: escuela-comun/abyayala#37
No description provided.
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?