Servicii de securizare pe mini PC care rulează Ubuntu

Lucrez pentru un startup care creează un produs care va fi lansat complet cu hardware-ul necesar.

Hardware-ul este un mini PC care rulează Ubuntu 20.04. Aplicația constă din servicii python în interiorul containerelor docker, o bază de date și câteva modele de deep learning - deci, în esență, mini PC-ul este folosit ca înlocuitor de server. Utilizatorii accesează aplicația conectându-se la un hotspot. La unii clienți, hardware-ul va fi izolat.

Nu pot intra în prea multe detalii, dar configurația are sens în cazul lor special de utilizare.

Acum am fost însărcinat cu securizarea hardware-ului pentru a nu permite temperarea/modificarea aplicației. Am făcut un pic de cercetare (a se vedea mai jos), dar sunt puțin fără idei despre ce se poate face, dacă ceva, pentru a rezolva acest lucru într-un mod satisfăcător.

Cercetarea mea:

• Prima idee pe care am găsit-o a fost să criptez partiția rădăcină cu LUKS și apoi să stochez cheia în TPM - hardware-ul actual nu acceptă TPM (sperăm că acesta este ceva care poate fi schimbat pentru achizițiile viitoare de hardware)
• A doua idee a fost să criptați partiția rădăcină și, de asemenea, să furnizați cheia partiției. Chiar dacă acum ai nevoie de două părți, nu cred că asta ar face mai greu de temperat.
• O altă idee în afara posibilităților sistemului de operare a fost cel puțin să ofuscați codul aplicației cu ceva de genul pyarmor - dar acest lucru se simte din nou ca o bară foarte joasă de șters.

Am încercat deja să găsesc alte posibilități - poate că interogările mele de căutare sunt naibii - dar nu am reușit să găsesc nicio modalitate satisfăcătoare de a rezolva această problemă. Sper că cineva de aici mă poate îndruma în direcția corectă.

Criptarea este ceva diferit de securizare. Criptarea împiedică pe cineva să vă acceseze datele numai în caz de furt. Modificarea se face pe un sistem -în funcționare- și în acel moment sistemul este deblocat.

Pentru a securiza Ubuntu (/sistemul dvs.):

• actualizați-vă sistemul cât mai curând posibil și aplicați întotdeauna actualizări de securitate. Alăturați-vă unui grup de corespondență de securitate pentru a primi actualizări instantanee despre vulnerabilități. Primesc rapoarte despre CVE-uri, 99% nu sunt interesante, dar acea dată a făcut-o era bine de știut (bunul OpenSSL).
• utilizați parole decente pentru administrator și impuneți o parolă decentă pentru alți utilizatori. Și schimbați parola de administrator.
• nu instalați software terță parte decât dacă puteți accepta cumva creatorul/menținătorul. Lipiți-vă de bază cât mai mult posibil.
• eliminați toate programele pe care nu le utilizați. Dacă este un server: fără desktop; utilizați linia de comandă.
• faceți copii de rezervă, scrieți planuri de urgență și exersați-le

ofuscați codul aplicației

Asta nu funcționează niciodată. Ar trebui să considerați că oricine nu ar trebui să aibă acces, dar care are acces la sistemul dvs., este suficient de inteligent pentru a se uita prin asta.

Un lucru la care migrăm în prezent este împărțirea serverelor: software-ul nostru, baza de date și jasperserver sunt fiecare pe propria instanță. Ultimele 2 NU au conexiune la internet și pot vorbi doar cu serverul care deține software-ul.

Se pare că reinventezi aparat.

• Un aparat este un pachet OS + Software, uneori și hardware. Când este instalat, utilizatorul nu are autentificare sau acces la sistemul de operare; configurarea și activitatea are loc numai pe interfața software orientată către utilizator, GUI sau API.
• Exemple la https://ubuntu.com/appliance

În Ubuntu, un dispozitiv este cel mai ușor creat folosind Ubuntu Core cu propriul tău Snap personalizat deasupra. Ubuntu Core și Snaps sunt concepute pentru acest tip de utilizare.

Ubuntu Server NU este proiectat pentru cazul de utilizare pe care îl descrieți.