想象一下存储在LUKS 加密备份磁盘上的机密信息(证书、密钥等),其中包含例如 ext4 文件系统。AFAIK 这样的设备包含一个密钥文件,该文件又用一些密码短语加密。假设秘密密码是使用实用程序创建的:
pwgen -s 16
得到一些半随机字符串。例如“ Z4sp9gmW47R8K0sy ” 在研究了 cryptsetup FAQ 之后,我相信这应该提供 94.4 位的熵,这应该足以暂时睡个好觉。
想象一下这样的磁盘被盗或被复制,并且一些邪恶的攻击者愿意花费合理的资源来破解这个媒体。
这真的会有多困难?只要密码不被其他方式泄露(泄露),
数据真的安全吗?
在过去的两个晚上,我们在一台运行 Ubuntu Linux 12.04 LTS 和 Linux mdadm 软件 RAID10 的服务器上发生了一些神秘事件:
DeviceDisappeared /dev/md0
NewArray /dev/md127
这两条消息出现在同一秒,与 logrotate cron 操作发生的同时。尽管该数组仍以 命名/dev/md0,/etc/mdadm/mdadm.conf但它/dev/md127在 的输出中显示为cat /proc/mdstat:
Personalities : [linear] [multipath] [raid0] [raid1] [raid10] [raid6] [raid5] [raid4]
md127 : active raid10 sdb1[0] sdg1[5] sdc1[1] sdh1[6] sdf1[4] sdd1[2] sdk1[9] sdj1[8] sde1[3] sdi1[7]
9746600960 blocks 512K chunks 2 near-copies [10/10] [UUUUUUUUUU]
unused devices: <none>
为什么会这样,我该如何解决?
我最近阅读了这篇关于使用 LUKS 使用整个磁盘加密进行备份的不错的 Howto 教程。令我惊讶的是,本教程包含作为步骤 #3 的第一部分的命令,用加密的二进制零覆盖新磁盘分区:
dd if=/dev/zero of=/dev/mapper/your_encrypted_disk_partition
显然,考虑到当今可用的巨大磁盘,此命令将非常耗时。所以很想跳过这个命令。如果磁盘将被填满并且几乎无论如何都会被覆盖,因为在创建和安装加密磁盘设备之后将立即执行完整的系统备份作为下一步,那么很难理解这样做的必要性。
忽略此命令有哪些安全风险?
使用模式的披露是否仅仅意味着持有磁盘的人可能能够弄清楚我的加密数据占用了多少磁盘空间?
或者一些足智多谋的秘密机构能够发现更多的私人信息?
我最近阅读了Corey Kallenberg和 Xeno Kovah 在 CanSecWest 会议上发表的演讲,该演讲描述了如何重新编程服务器主板的固件以包含恶意软件。这让我真的很担心!我现在正在寻找一种方法,以确保某些给定的硬件在这方面没有受到影响。我怎样才能做到这一点?
如何配置exim 标头重写以处理离开我们公司的电子邮件 中忘记的 Reply-To: 标头?
我们希望在Reply-To:离开公司的所有官方电子邮件中添加某些标题。例如Reply-To: [email protected],
Reply-To: [email protected], ...
一个人可能会生病,请一天假,去度假或类似的事情。上面作为示例Reply-To:地址提到的地址是别名,它将来自客户的传入回复分发给一组同事,以确保有人会及时阅读并采取行动。
我研究了 exim 文档的过滤器部分,但我仍然觉得无法将其应用于我的特定问题。一个工作的例子会很好。
我们的邮件服务器是基于 debian 的,如果这很重要,它会使用所谓的拆分配置方案。