Как обезопасить клиентские ПК? шифрование?

Question

[Drno]

Есть необходимость поставлять миниПК клиентам, с конечным софтом.
Есть желание отгородиться от большинства "умелых" ручек, которые туда полезут.
С шифрованием в таком плане не сталкивался.

Какие есть варианты защитить если не саму ОС ( в целом там ничего секретного), но хотя бы докер контейнеры, которые там будут? Т.к. там будет 2-3 файла с конфигурациями и данными, которые клиенту вообще нельзя показывать.

Хочется защитить от способа "загрузочная флешка", и желательно от подбора ssh (с ssh как раз понятно, просто по ключу доступ)
Полное шифрование диска не подходит, тк. железки будут автономны.
По этой же причине не подходит и шифрование отдельной папки, т.к. я понимаю что без ввода пароля из неё никакой сервис не стартанёт...
В общем куда посмотреть \ почитать, что изучить?

UPD - задача упростилась. Надо просто не дать увидеть файлы докера на выключенной машине. Ну тоесть если кто то загрузится с liveCD либо подкинет диск к своему ПК.

Comments

[CityCat4]

По-моему от загрузки с флэшки гарантированно можно защититься только отсутсвием портов в которые ее можно вставить :) Потому что имея достут к железу, терпение и стимул можно многое наворотить...

[Drno]

CityCat4, тут скорее вопрос - чтобы грузанувшись с флешки, человек даже прочитав диск не получил доступ к уязвимым данным.
например к определенной папке \ нескольких файлам конфигурации

[Valentin Barbolin]

CityCat4, Отключить на уровне BIOS порт USB ?

[Drno]

Valentin Barbolin, ну включат обратно.. это ж не проблема

[Valentin Barbolin]

Drno, Пароль на BIOS

[Sergei Nazarenko]

Drno, отломать физически, ну хотя умелые и порты припаять смогут ))

[Drno]

Valentin Barbolin, хорошая шутка, про пароль на биос..

[pfg21]

CityCat4, securebott и прочие tpmы разве дадут загрузить с флешки недоверенное ПО ??
Это же получается дыра в безопасности размером с секретаршу ??

[Василий Банников]

pfg21, secure boot вроде вполне позволяет защититься от загрузки сторонних штук. Диск можно зашифровать, а ключи для расшифровки держать в tpm

[Everything_is_not_so_bad]

UPD - задача упростилась. Надо просто не дать увидеть файлы докера на выключенной машине. Ну тоесть если кто то загрузится с liveCD либо подкинет диск к своему ПК.

Примонтировать `/var/lib/docker` не проблема

[Drno]

Василий Банников, pfg21, в случае с распбери как это реализовать? где тупо SDшка?) её можно просто вынуть и прочитать на другом любом ПК...
пока склоняюсь к шифрованию конкретной папки, где будет лежать проект, вопрос как её расшифровывать автоматом, при это не храня данные для расшифровки на носителе \ в открытом виде

[pfg21]

Drno, на СД шифрованная фс. Ключ в тпм как сказал vabka.
Тырить СД без ключа бессмысленно

[mayton2019]

Во некоторых банках для безопасности все USB порты на десктопах были демонтированы.
И все дисководы и CD приводы тоже. Шнуры мышей и клавиатур - запаяны.

Да. Безопасность должна быть безкомпросиссной.

Answer 1

[ValdikSS]

Вам нужна доверенная загрузка.
https://0pointer.de/blog/brave-new-trusted-boot-wo...

Comments

[Drno]

интересно, спасибо. но к сожаление, если я правиильно понял, требуется ueffi.
у нас возможен варианто что его не будет, либо будет одноплатник - типа распбери \ орандж ПИ

[ValdikSS]

Drno, везде есть trusted boot/secure boot.

[Алексей Черемисин]

ValdikSS, на расберри и оранжах TPM нет!

[ValdikSS]

Алексей Черемисин, Есть TrustZone в процессоре и Secure Boot в том или ином виде в бутроме, с помощью которого можно реализовать всё необходимое ОПу.

RaspberryPi/OrangePi в плане поддержки этих технологий слабо отличаются от современных смартфонов.