Ich möchte einen Anti-Forensic-Linux-Server einrichten, um meine Benutzer zu schützen.
Mein Ziel ist es, dass die Linux-Distribution und alles, was darin enthalten ist, aus dem RAM läuft und nichts dauerhaft speichert.
Es ist möglich, dass ich irgendwann ausgewählte Dinge (wie Fehlermeldungen oder Feedback von Benutzern) auf einer verschlüsselten Festplatte speichern muss, damit ich sie lesen kann, falls sie verschwinden. Alles andere sollte jedoch nicht auf eine Festplatte geschrieben werden.
Ich weiß ein bisschen über RAM-Disks Bescheid, bin mir aber nicht sicher, wie ich alles davon abhalten kann? Jede Hilfe, wie ich dabei vorgehen würde, oder bessere Lösungen wären willkommen.
linux
forensics
virtualization
virtual-memory
k1308517
quelle
quelle
Antworten:
Ich würde empfehlen, sich mit Device Mapper zu befassen. Sie können ein Nur-Lese-Laufwerk erstellen, das das Basisbetriebssystem enthält, und dann ein RAM-Laufwerk (wenn Sie nur eine kleine beschreibbare Ebene benötigen) oder ein verschlüsseltes Laufwerk mit einem vorübergehenden Schlüssel (für mehr beschreibbaren Speicherplatz) als beschreibbare Überlagerung zuordnen . Durch die Verwendung des Gerätezuordnungs-Snapshots wird eine Überlagerung auf Blockgeräteebene erstellt. Sobald Sie dies eingerichtet haben, möchten Sie in die Partition chrooten.
Für ein erweitertes Setup können Sie das obige Setup über initramfs ausführen.
Alternativ können Sie auch OverlayFS / AUFS für die Überlagerung auf Dateisystemebene verwenden.
Wenn Sie einen Swap benötigen, möchten Sie auch sicherstellen, dass Sie Ihren Swap verschlüsseln.
Möglicherweise möchten Sie sich auch mit TAILS OS (The Amnesiac Incognito Live System) befassen.
quelle
Dies ist keine triviale Sache, wenn Sie wissen, was Sie tun. Vom Klang der Dinge werden Sie einen Kampf haben.
Denken Sie daran, dass Sie das System von Grund auf neu erstellen müssen, wenn es jemals heruntergefahren wird. Außerdem wird eine Linux-Installation, die tatsächlich von Nutzen ist, mindestens etwa 20 GB Speicherplatz benötigen. Wenn Sie eine komprimierte RAM-Festplatte verwenden, hilft dies ein wenig (möglicherweise halbiert sich die unkomprimierte Anforderung), aber es wird immer noch viel RAM benötigt.
OTOH Sie könnten eine normale Linux-Installation auf Festplatte erstellen und dann mit unionfs eine beschreibbare Ebene (die in Form einer RAM-Festplatte oder einer verschlüsselten Partition vorliegen kann) über der Basisinstallation erstellen.
quelle
Sie könnten einen PXE-Boot durchführen und ihn direkt in den RAM laden, was für Sie am einfachsten klingt.
Dieser Link hat eine Anleitung für ram Boot und ram PXE - Boot http://reboot.pro/topic/14547-linux-load-your-root-partition-to-ram-and-boot-it/
http://eduardo-lago.blogspot.com/2012/06/ram-only-pxe-boot-smallest-diskless.html
quelle