escuela-comun/abyayala
1
0
Fork 0
Code Issues 43 Pull Requests Packages Projects Releases Wiki Activity

Que se pueda encender remotamente, porque no siempre hay gente a mano: #54

New Issue
Open
opened 2025-06-26 16:34:59 +00:00 by Numerica · 15 comments
Numerica commented 2025-06-26 16:34:59 +00:00
Owner
Copy Link

#37
-Instalar servidor SSH Dropbear en initramfs con el sistema instalado en modo UEFI

  • Que sea lo mas seguro que podamos
    -El /boot no estaría cifrado, pero cualquier modificación resultaría en un error.
    -Usar metedología de secret sharing que bien puede ser un sistema de Keyrings https://grahamwatts.co.uk/gnome-secrets/
    (Aunque esto no soluciona teclear una contraseña compleja en teclado pequeño de smartphone, se puede tener la contraseña en un KeepassXC desde smartphone y de ahí copiar-pegar pero no es algo taaan seguro, quizá mejor recomendar si usar la computadora para este caso)
#37 -Instalar servidor SSH Dropbear en initramfs con el sistema instalado en modo UEFI - Que sea lo mas seguro que podamos -El /boot no estaría cifrado, pero cualquier modificación resultaría en un error. -Usar metedología de secret sharing que bien puede ser un sistema de Keyrings https://grahamwatts.co.uk/gnome-secrets/ (Aunque esto no soluciona teclear una contraseña compleja en teclado pequeño de smartphone, se puede tener la contraseña en un KeepassXC desde smartphone y de ahí copiar-pegar pero no es algo taaan seguro, quizá mejor recomendar si usar la computadora para este caso)
Numerica added the
huerta
prioridad alta
 labels 2025-06-26 16:35:29 +00:00
Numerica commented 2025-06-26 16:42:23 +00:00
Author
Owner
Copy Link

#53 à propos de secret sharing

#53 à propos de secret sharing
fauno commented 2025-06-26 18:08:59 +00:00
Owner
Copy Link

@Numerica @cyborg_yogui @pirra tuvieron en cuenta lo que dije sobre la vpn?

#37 (comment)

@Numerica @cyborg_yogui @pirra tuvieron en cuenta lo que dije sobre la vpn? https://git.coopcloud.tech/escuela-comun/abyayala/issues/37#issuecomment-24737
fauno commented 2025-06-26 18:09:40 +00:00
Owner
Copy Link

relacionado #23

relacionado #23
Numerica commented 2025-06-26 18:18:16 +00:00
Author
Owner
Copy Link

en esa parte me quedó la duda, si esta partición de inicio que queda decifrada, con acceso remoto. no sólo se complejiza, sino que también introduce un riesgo para el cifrado?

se habló del ataque Evil Maid, en que por acceso físico a esta partición se puede instalar spyware para obtener la contraseña de cifrado. Esto abriría la puerto a un Evil Neighbor que haga algo similar por red?

quizás el encendido remoto en sí mismo plantea un tradeoff de seguridad?

en esa parte me quedó la duda, si esta partición de inicio que queda decifrada, con acceso remoto. no sólo se complejiza, sino que también introduce un riesgo para el cifrado? se habló del ataque Evil Maid, en que por acceso físico a esta partición se puede instalar spyware para obtener la contraseña de cifrado. Esto abriría la puerto a un Evil Neighbor que haga algo similar por red? quizás el encendido remoto en sí mismo plantea un tradeoff de seguridad?
fauno commented 2025-06-26 18:28:15 +00:00
Owner
Copy Link

con secure boot el kernel e initramfs estarian protegidos de modificacion por intervencion externa, con o sin acceso remoto.

guarda con usar "evil maid" alegremente porque se la ha criticado por ser clasista.

con [secure boot](https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot) el kernel e initramfs estarian protegidos de modificacion por intervencion externa, con o sin acceso remoto. guarda con usar "evil maid" alegremente porque se la ha criticado por ser clasista.
fauno commented 2025-06-26 18:28:36 +00:00
Owner
Copy Link

ese articulo dice que hay que ponerle una buena contraseña a la bios

ese articulo dice que hay que ponerle una buena contraseña a la bios
fauno added the
cuidados
ahorita lo resolvemos
 labels 2025-07-02 15:24:29 +00:00
pirra commented 2025-07-10 18:35:46 +00:00
Owner
Copy Link

a resolver con el modelo de amenazas, en conjunto con la comisión de cuidados

a resolver con el modelo de amenazas, en conjunto con la comisión de cuidados
l4uZP removed the
prioridad alta
 label 2025-07-25 20:43:24 +00:00
pirra commented 2025-07-30 13:13:23 +00:00
Owner
Copy Link

Según la app Haven puede ayudar en los casos de los ataques "Evil maid" (o el nombre alterno que deseemos usar) en algunos casos, ya que registra evidencia con los dispositivos móviles, pero esto no soluciona el escenario del server retenido en alguna frontera. ---> https://www.mypress.mx/tecnologia/crea-snowden-app-de-seguridad-haven-2102

Según la app Haven puede ayudar en los casos de los ataques "Evil maid" (o el nombre alterno que deseemos usar) en algunos casos, ya que registra evidencia con los dispositivos móviles, pero esto no soluciona el escenario del server retenido en alguna frontera. ---> [https://www.mypress.mx/tecnologia/crea-snowden-app-de-seguridad-haven-2102](https://www.mypress.mx/tecnologia/crea-snowden-app-de-seguridad-haven-2102)
fauno added the
hacer
 label 2025-07-30 15:39:55 +00:00
pirra self-assigned this 2025-07-30 19:02:17 +00:00
pirra commented 2025-08-06 15:15:11 +00:00
Owner
Copy Link

Actualización de en dónde estamos hasta ahora

El encendido remoto de la computadora viene del desglose del Issue de cifrado de disco #37

El modo de cifrado y encendido remoto sería "Instalar servidor SSH Dropbear en initramfs con el sistema instalado en modo UEFI" y seria de este modo: comentario #37 :

  1. instalar el sistema en modo uefi, de forma que no se pueda modificar el bootloader
  2. instalar dropbear-initramfs para que te puedas conectar por ssh a escribir la contraseña
  3. esto implicaría que /boot no esté cifrado, pero cualquier modificación resultaría en un error.

  • Ruta:
    a) grub inicia en modo uefi
    b) bootea linux, que llega hasta el paso de desbloquear discos
    c) un servidor de secretos envía la notificación
    d) operadore(s) recibe(n) una notificación diciendo que la huerta necesita que le permitan iniciar
    e) al decir que sí, se le pide una contraseña o una forma de autenticación personal
    f) el servidor comprueba la autorización
    g) la huerta inicia

  • Referencias:

  1. https://unix.stackexchange.com/questions/659190/unlock-grub-bootloader-password-remotely
  2. https://www.reddit.com/r/sysadmin/comments/j8iitv/how_to_mount_an_encrypted_disk_with_luks_remotely/?tl=es-es#:~:text=El%20servidor%20SSH%20dropbear%20se%20instala%20en,gestor%20de%20arranque%2C%20y%20luego%20ya%20est%C3%A1.

Falta resolver:

  1. Prevenir escenarios de ataques "Evil M", quiza la app Haven puede ayudar pero no en todos los escenarios comentario en #54
  2. Que el initframs tenga la VPN funcionando comentario #37
**Actualización de en dónde estamos hasta ahora** ### El encendido remoto de la computadora viene del desglose del Issue de cifrado de disco [#37](https://git.coopcloud.tech/escuela-comun/abyayala/issues/37) ### El modo de cifrado y encendido remoto sería "Instalar servidor SSH Dropbear en initramfs con el sistema instalado en modo UEFI" y seria de este modo: [comentario #37](https://git.coopcloud.tech/escuela-comun/abyayala/issues/37#issuecomment-24582) : 1. instalar el sistema en modo uefi, de forma que no se pueda modificar el bootloader 2. instalar dropbear-initramfs para que te puedas conectar por ssh a escribir la contraseña 3. esto implicaría que /boot no esté cifrado, pero cualquier modificación resultaría en un error. - Ruta: a) grub inicia en modo uefi b) bootea linux, que llega hasta el paso de desbloquear discos c) un servidor de secretos envía la notificación d) operadore(s) recibe(n) una notificación diciendo que la huerta necesita que le permitan iniciar e) al decir que sí, se le pide una contraseña o una forma de autenticación personal f) el servidor comprueba la autorización g) la huerta inicia - Referencias: 1. [https://unix.stackexchange.com/questions/659190/unlock-grub-bootloader-password-remotely](https://unix.stackexchange.com/questions/659190/unlock-grub-bootloader-password-remotely) 2. [https://www.reddit.com/r/sysadmin/comments/j8iitv/how_to_mount_an_encrypted_disk_with_luks_remotely/?tl=es-es#:~:text=El%20servidor%20SSH%20dropbear%20se%20instala%20en,gestor%20de%20arranque%2C%20y%20luego%20ya%20est%C3%A1.](https://www.reddit.com/r/sysadmin/comments/j8iitv/how_to_mount_an_encrypted_disk_with_luks_remotely/?tl=es-es#:~:text=El%20servidor%20SSH%20dropbear%20se%20instala%20en,gestor%20de%20arranque%2C%20y%20luego%20ya%20est%C3%A1.) ### Falta resolver: 1. Prevenir escenarios de ataques "Evil M", quiza la app Haven puede ayudar pero no en todos los escenarios [comentario en #54](https://git.coopcloud.tech/escuela-comun/abyayala/issues/54#issuecomment-25262) 2. Que el initframs tenga la VPN funcionando [comentario #37](https://git.coopcloud.tech/escuela-comun/abyayala/issues/37#issuecomment-24737)
pirra commented 2025-08-29 18:04:15 +00:00
Owner
Copy Link

En lo relacionado al comentario del Issue #37 en referencia a que el initframfs tenga la VPN funcionando:

Según varios links de documentación que acá iré compartiendo, no he encontrado como configurar que la VPN inicie en el initframfs y/o utilizando Dropbear. Más bien sería que arranque desde systemd, pero no sé si eso lo solucione, pero activando la VPN desde el systemd puede ser una opción.

Una vez instalando dropbear-intframs y todos los pasos indicados acá , habría que configurar el servicio en systemd, para esto acá hay un tutorial, el ejemplo de acá es con el cliente OpenConnect VPN, está en este link: https://www.linuxbabe.com/debian/openconnect-vpn-server-ocserv-debian-12-bookworm en la parte de la mitad para abajo del tutorial, en dónde están las indicaciones para: Auto-Connect on System Startup

Lo que falta ahora es que hagamos la prueba en algún server para ver si la teoría funciona.

En lo relacionado al comentario del Issue [#37](https://git.coopcloud.tech/escuela-comun/abyayala/issues/37#issuecomment-24737) en referencia a que el initframfs tenga la VPN funcionando: Según varios links de documentación que acá iré compartiendo, no he encontrado como configurar que la VPN inicie en el initframfs y/o utilizando Dropbear. Más bien sería que arranque desde systemd, pero no sé si eso lo solucione, pero activando la VPN desde el systemd puede ser una opción. Una vez instalando dropbear-intframs y todos los pasos [indicados acá](https://git.coopcloud.tech/escuela-comun/abyayala/issues/37#issuecomment-24737) , habría que configurar el servicio en systemd, para esto acá hay un tutorial, el ejemplo de acá es con el cliente OpenConnect VPN, está en este link: [https://www.linuxbabe.com/debian/openconnect-vpn-server-ocserv-debian-12-bookworm](https://www.linuxbabe.com/debian/openconnect-vpn-server-ocserv-debian-12-bookworm) en la parte de la mitad para abajo del tutorial, en dónde están las indicaciones para: **Auto-Connect on System Startup** Lo que falta ahora es que hagamos la prueba en algún server para ver si la teoría funciona.
fauno commented 2025-08-30 08:53:24 +00:00
Owner
Copy Link

no se como sera en el initramfs de debian, habria que explorar el paquete dropbear-initrams, pero en arch por ejemplo, es posible configurarlo para que al generar el initramfs se copie algunos archivos y modulos. entonces se podria configurar para que copie /etc/tinc y /usr/sbin/tincd, ademas del modulo tun, para que inicie durante el encendido.

hay que tener en cuenta que estariamos copiando la llave privada de tinc desde el disco cifrado al initramfs abierto.

no se como sera en el initramfs de debian, habria que explorar el paquete dropbear-initrams, pero en arch por ejemplo, es posible configurarlo para que al generar el initramfs se copie algunos archivos y modulos. entonces se podria configurar para que copie `/etc/tinc` y `/usr/sbin/tincd`, ademas del modulo `tun`, para que inicie durante el encendido. hay que tener en cuenta que estariamos copiando la llave privada de tinc desde el disco cifrado al initramfs abierto.
pirra added
haciendo
 and removed
hacer
 labels 2025-09-10 13:21:15 +00:00
fauno commented 2025-10-01 10:42:23 +00:00
Owner
Copy Link

@pirra esta vos con esto entonces? estimo que instalar dropbear-initramfs es facil, el tema es hacer un tinc-initramfs. avisame si necesitas ayuda

@pirra esta vos con esto entonces? estimo que instalar dropbear-initramfs es facil, el tema es hacer un tinc-initramfs. avisame si necesitas ayuda
pirra commented 2025-10-03 00:03:24 +00:00
Owner
Copy Link

Sip, tengo la teoría, necesito hacer una prueba de que funcione, estoy por hacer esto.

Sip, tengo la teoría, necesito hacer una prueba de que funcione, estoy por hacer esto.
🎉 1
fauno commented 2025-10-29 16:22:27 +00:00
Owner
Copy Link

hoy quedamos que los pasos serían:

  • cifrar todo el disco menos /boot
  • activar red y vpn en initramfs/initrd
  • verificar imagen del kernel con uefi

@cyborg_yogui @ChasquiLabo para la planificacion pedagogica:

  • desbloqueo remoto de la huerta
  • protocolo de aviso cuando la huerta es tomada fisicamente de donde este alojada, para que la demos de baja

estoy pensando que si la instalación de las huertas incluye el cifrado, las contraseñas de decifrado deberían ya guardarse en el vaultwarden de cada quien y darles acceso antes de empezar la escuelita, porque es un lio cambiarlas después. nos tendriamos que meter en comando oscuros de cryptsetup.

hoy quedamos que los pasos serían: * cifrar todo el disco menos `/boot` * activar red y vpn en `initramfs`/`initrd` * verificar imagen del kernel con uefi @cyborg_yogui @ChasquiLabo para la planificacion pedagogica: * desbloqueo remoto de la huerta * protocolo de aviso cuando la huerta es tomada fisicamente de donde este alojada, para que la demos de baja estoy pensando que si la instalación de las huertas incluye el cifrado, las contraseñas de decifrado deberían ya guardarse en el vaultwarden de cada quien y darles acceso antes de empezar la escuelita, porque es un lio cambiarlas después. nos tendriamos que meter en comando oscuros de cryptsetup.
pirra commented 2025-11-29 12:02:58 +00:00
Owner
Copy Link

hoy quedamos que los pasos serían:

  • cifrar todo el disco menos /boot
  • activar red y vpn en initramfs/initrd
  • verificar imagen del kernel con uefi

@cyborg_yogui @ChasquiLabo para la planificacion pedagogica:

  • desbloqueo remoto de la huerta
  • protocolo de aviso cuando la huerta es tomada fisicamente de donde este alojada, para que la demos de baja

estoy pensando que si la instalación de las huertas incluye el cifrado, las contraseñas de decifrado deberían ya guardarse en el vaultwarden de cada quien y darles acceso antes de empezar la escuelita, porque es un lio cambiarlas después. nos tendriamos que meter en comando oscuros de cryptsetup.

Anotado para los acuerdos, políticas y protocolos.

> hoy quedamos que los pasos serían: > > * cifrar todo el disco menos `/boot` > * activar red y vpn en `initramfs`/`initrd` > * verificar imagen del kernel con uefi > > @cyborg_yogui @ChasquiLabo para la planificacion pedagogica: > > * desbloqueo remoto de la huerta > * protocolo de aviso cuando la huerta es tomada fisicamente de donde este alojada, para que la demos de baja > > estoy pensando que si la instalación de las huertas incluye el cifrado, las contraseñas de decifrado deberían ya guardarse en el vaultwarden de cada quien y darles acceso antes de empezar la escuelita, porque es un lio cambiarlas después. nos tendriamos que meter en comando oscuros de cryptsetup. Anotado para los acuerdos, políticas y protocolos.
l4uZP was assigned by fauno 2025-12-03 16:04:55 +00:00
fauno added the due date 2025-12-10 2025-12-03 16:05:03 +00:00
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
Labels
Clear labels
ahorita lo resolvemos
Pendientes de definición
cuidados
Comisión de cuidados
hacer
Listos para desarrollar
haciendo
Estamos trabajando
huerta
Implementar en una huerta
no pasó el test
El testeo falló, hay que revisarlo
prioridad alta
A desarrollar primero
prioridad baja
A desarrollar opcionalmente, si nos da el tiempo
proxy
Implementar en el proxy
rap
Para resolver en la red
testear
Listos para testear
No Label
ahorita lo resolvemos
cuidados
haciendo
huerta
Milestone
No items
No Milestone
Projects
Clear projects
No project
Assignees
Clear assignees
3wordchant ChasquiLabo cyborg_yogui fauno l4uZP Numerica pirra
No Assignees pirra l4uZP
3 Participants
Notifications
Due Date
2025-12-10
Dependencies

No dependencies set.

Reference: escuela-comun/abyayala#54
No description provided.
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?