Nachdem ich meinen Homelab-Server auf Arch Linux umgestellt habe, wollte ich wie zuvor bei Debian mein mit LVM on LUKS voll-verschlüsseltes System per SSH entsperren können. Erste Anlaufstelle war für mich wie immer das Arch-Linux-Wiki. Die im Wiki vorgestellten Lösungen verwenden jedoch zum gegenwärtigen Zeitpunkt alle min. ein Paket aus dem Arch User Repository (AUR). Aus Sicherheitsgründen versuche ich, wenn möglich, AUR-Pakete zu vermeiden. Nach etwas Recherche habe ich dann eine Lösung mithilfe des Pakets mkinitcpio-systemd-tool in Verbindung mit dem SSH-Server Dropbear gefunden. Welche Schritte diesbzgl. zum Einrichten nötig sind, findet ihr im folgenden Beitrag.
Arch Linux: LUKS-voll-verschlüsseltes System beim Booten per SSH entsperren (mittels systemd und Dropbear)
Linux & TPM: Praktische Anwendungsfälle
Die meisten Computer sind heutzutage mit einem TPM (Trusted Platform Module) ausgestattet. Dabei handelt es sich um einen Sicherheitschip, der zusätzliche Sicherheitsfunktionen auf Hardwareebene bereitstellt. In der Praxis liest man vom TPM häufig im Zusammenhang mit Secure Boot zur Absicherung des Bootvorgangs. Es gibt aber auch noch andere praktische Anwendungsfälle, für die man einen TPM-Chip nutzen kann. Einige Beispiele für den Einsatz unter Linux findet ihr im folgenden Beitrag.
GPG-Keys mit TPM verschlüsselt speichern
Analog zur Abscherung von SSH-Keys, lassen sich auch GPG-Keys mittels TPM (Trusted Platform Module) verschlüsselt speichern. Wie ihr das unter Linux bewerkstelligt, zeige ich euch in folgendem Beitrag.
LUKS-Festplatten-Vollverschlüsselung per SSH entsperren
Aktuell widme ich mich in meiner Freizeit dem Projekt mein Heimnetzwerk ("Homelab") neu aufzusetzen. Hierbei kommt ein kleiner Mini-PC als "Home"-Server zum Einsatz. Wie bei allen meinen Systemen soll eine Festplatten-Vollverschlüsselung mittels LVM on LUKS zum Einsatz kommen. Zudem möchte ich nicht dass der Server 24/7 läuft, sondern ihn immer nur bei Bedarf per Wake On LAN aufwecken. Konkret möchte ich also z.B. von unterwegs mich mittels VPN mit meinem Heimnetzwerk verbinden, per Wake On LAN den Server starten und dann auf dessen Services zugreifen.
Eine Herausforderung ist die während des Bootvorgangs benötigte Eingabe der Passphrase zum Entsperren des mit LUKS voll-verschlüsselten Systems. Eine Lösung, die ich euch in diesem Beitrag zeigen möchte, ist die Verwendung von Dropbear. Hierbei handelt es sich um einen "kleinen" SSH-Server, der ins initramfs integriert werden kann. Hierdurch lässt sich bereits während des Bootvorgangs eine SSH-Verbindung zum Server aufbauen und so aus der Ferne (Remote) die Passphrase zum Entsperren des Systems eingeben.
Wie ich den Bootvorgang meines Linux-Notebooks absichere - UEFI Secure Boot, Measured Boot (TPM), LUKS
Nebst dem Absichern (Hardening) des Betriebssystems, sollte auch der eigentliche Bootvorgang, dem meist weniger Beachtung bzgl. Sicherheit geschenkt wird, abgesichert werden. Die beste Festplatten-Vollverschlüsselung bringt nicht allzu viel, wenn euer System z.B. mit einem manipulierten Kernel gebootet wird und im Hintergrund bspw. euer Passwort mitgeloggt wird. Aus diesem Grund ist es wichtig bereits beim Bootvorgang sichzustellen, dass nur vertrauenswürdige Firmware/Software geladen und ausgeführt wird.
In diesem Beitrag gebe ich euch einen Überblick darüber, welche Schritte ich umgesetzt habe, um ich mein Notebook mit Arch Linux sicher zu booten.