web-dev-qa-db-ja.com

Linuxラップトップが盗まれた場合、その内容をリモートで消去するにはどうすればよいですか?

現在、私の開発チームのためにLinuxラップトップを使用することを調査しています。現在、Windowsを実行しています。システム管理/セキュリティの観点からWindowsをLinuxに追いやる利点の1つは、ラップトップが盗まれた場合、起動時にリモートで消去される可能性があることです。

私はLinuxベースのワークステーションのこの機能に関する情報を見つけようとしましたが、手ぶらで思いつきました。ワークステーションのエンタープライズ環境でLinuxを使用している人はいますか。使用している場合、これは解決した要件ですか。他にどこを見ればいいのかわかりません。

ありがとうございました

linuxoperating-systemstoolsdestruction
11
rbieber

私は見てきたと思います この質問 はいくつかの興味深いオプションを提供します。ここでそれらを要約します。

  • dd if=/dev/zero of=/dev/sdaXは、ディスク全体にゼロをコピーします。 rm -rf --no-preserve-root /は、ディスク上のすべてのファイルを再帰的に削除し、それが有効になっているシステムではrm -rf /警告を上書きします。 sshを使用してボックスにアクセスできる場合、ddバリアントを実行すると、ディスクがかなり効率的に破壊されます。
  • Grubオプションは、VNCアクセスを提供するという点で興味深いものです。ただし、攻撃者にとっては、VNCを起動していることは明らかであろう-初心者には適切なgrubオプションを使用する必要があります。実際の起動エントリmightで非表示のgrubメニューで十分です...しかし、私たちは策略について話しています。
  • このAskUbunt 質問もこの問題を扱い、解決策を推奨します。

自分でいくつかの作業を行う準備ができている場合は、sysvinitまたはシステムが使用するものを使用して、非常に初期のinitエントリを構成できます。制御するURLを確認してください。 https://remotecheck.yourcompany.comそして、デバイスが盗まれた場合は、ワイプを開始します。

リモートワイプソリューションの最終的な問題はそれを呼び出すことです。デバイスにアクセスできる必要があります。カスタムのinit-invokedジョブを使用して言及する理由は、直接または既知のアクセスよりも外部にアクセスする可能性が高いためです。つまり、攻撃者が操作のベースでルーターの背後にいる場合、アウトバウンド接続である可能性が高いです。許可されており、バインドして着信接続を許可できるIPがあることをはるかに下回っています。

もちろん、これらのソリューションはどれも実際には何も保証しません-攻撃者がどのように機能するかを知っている場合、それらをオフにすることができます。コメントで言及されている解決策は、ディスクの暗号化を使用することです。これにより、次の警告の下ではディスクが読み取れなくなります。

  • wholeディスクは暗号化されています-そうしないと、ソフトウェアが暗号化されていない領域に書き込む可能性があります。
  • システムの電源がオフになっているか、たとえば、メモリからキーを削除するためにluksSuspend -wipeが実行されています。
  • 攻撃者は、デバイスを盗む前にキーエントリを観察する方法がありませんでした。

正直なところ、私はディスク暗号化を採用します。

15
user2213

たとえばTruecryptでハードディスクを暗号化することでデータを保護できますが、これでは不十分です...

編集:HD暗号化とデータ暗号化の違いについて、オリバーザルツブルクの重要なコメントを確認してください。

盗まれたラップトップを保護し、時には回復するための最良の方法は、PreyLoJackなどのこの目的専用のアプリケーションを使用することだと思います。たとえば、LoJackは、一部のラップトップモデルで低レベルの機能を使用して、ハードディスクが取り外された場合でもそれを保護します...これは、一部のコンピューターモデルにインストールされた「永続モジュール」と呼ばれます。

このテクノロジーを搭載したコンピューター/モデルのリストについては、Absolute SoftwareWebサイトを確認してください。

)も見てください:

LoJack: http://www.absolute.com/en/lojackforlaptops/home.aspx

獲物: http://preyproject.com/

この助けを願っています。知らせて下さい。

7
climenole

私がそこに捨てるだけの簡単なオプション:起動時にSSHトンネルを作成します。

仕事でインターネットに接続している限り、すべてのリソースを完全に制御できます。それを拭く必要がありますか?それを拭いてください。不在の誰かからファイルを取得する必要がありますか?ソフトウェアをインストールする?それらのサーバーリソースをマウントしますか? VNCをインストールして別のトンネルをパンチし、リモートアシストします。

Sshd構成ファイルを編集して、特定のPCでトンネルを作成するときに、ワイプを自動化し、完了したことをログに記録できると思います。

他の誰かが良いアイデアを考えている場合、私はそれの実行可能性についてぶらぶら始めることができると思います。

もちろん、完全なディスク暗号化を使用している場合、このポイントに到達するにはOSを起動する必要があります(現在のところ、Windowsでは、ディスク暗号化が解読されるまでワイプできません。すでにすべてのクローンを作成しています...フルディスク暗号化を実行している場合)。

3
StrangeWill

LUKSを使用してハードディスク全体を暗号化します。

Scientific Linux 6または最近のFedoraをインストールする場合、それを暗号化するためのチェックボックスを見つけることができます。起動時にパスフレーズが必要になります。

0
kamae