Bảo mật các dịch vụ trên PC mini chạy Ubuntu

Tôi đang làm việc cho một công ty khởi nghiệp đang tạo ra một sản phẩm sẽ được triển khai hoàn chỉnh với phần cứng cần thiết.

Phần cứng là một PC mini chạy Ubuntu 20.04. Ứng dụng này bao gồm các dịch vụ python bên trong bộ chứa docker, cơ sở dữ liệu và một số mô hình học sâu - vì vậy về cơ bản, PC mini được sử dụng để thay thế máy chủ. Người dùng truy cập ứng dụng bằng cách kết nối với một điểm phát sóng. Tại một số khách hàng, phần cứng sẽ bị chặn.

Tôi không thể đi vào quá nhiều chi tiết, nhưng cấu hình có ý nghĩa trong trường hợp sử dụng đặc biệt của chúng.

Bây giờ tôi được giao nhiệm vụ bảo vệ phần cứng để không cho phép chỉnh sửa/sửa đổi ứng dụng. Tôi đã thực hiện một chút nghiên cứu (xem bên dưới) nhưng hơi không biết phải làm gì để giải quyết vấn đề này một cách thỏa đáng.

Nghiên cứu của tôi:

• Ý tưởng đầu tiên tôi tìm thấy là mã hóa phân vùng gốc bằng LUKS và sau đó lưu trữ khóa trong TPM - phần cứng hiện tại không hỗ trợ TPM (hy vọng đây là thứ có thể thay đổi khi mua phần cứng trong tương lai)
• Ý tưởng thứ hai là mã hóa phân vùng gốc và cũng cung cấp khóa phân vùng. Mặc dù bây giờ bạn cần hai phần, nhưng tôi không nghĩ rằng điều này sẽ khiến bạn khó bình tĩnh hơn.
• Một ý tưởng khác nằm ngoài khả năng của hệ điều hành là ít nhất làm xáo trộn mã ứng dụng bằng thứ gì đó như pyarmor - nhưng điều này một lần nữa có cảm giác như một thanh rất thấp để xóa.

Tôi đã thử tìm các khả năng khác - có thể các truy vấn tìm kiếm của tôi rất tệ - nhưng tôi không thể tìm ra bất kỳ cách thỏa đáng nào để giải quyết vấn đề này. Tôi hy vọng ai đó ở đây có thể chỉ cho tôi đi đúng hướng.

Mã hóa là một cái gì đó khác với bảo mật. Mã hóa chỉ ngăn ai đó truy cập dữ liệu của bạn trong trường hợp bị đánh cắp. Giả mạo được thực hiện trên hệ thống -running- và tại thời điểm đó, hệ thống được mở khóa.

Để làm cho Ubuntu (/ hệ thống của bạn) an toàn:

• cập nhật hệ thống của bạn càng sớm càng tốt và luôn áp dụng các bản cập nhật bảo mật. Tham gia nhóm gửi thư bảo mật để bạn nhận được cập nhật tức thì về các lỗ hổng. Tôi nhận được báo cáo về CVE, 99% là không thú vị nhưng điều đó đã xảy ra một lần thì thật tốt khi biết (lỗi OpenSSL).
• sử dụng mật khẩu phù hợp cho quản trị viên và thực thi mật khẩu phù hợp cho những người dùng khác. Và thay đổi mật khẩu quản trị viên.
• không cài đặt phần mềm của bên thứ 3 trừ khi bạn có thể chấp nhận phần nào người tạo/bảo trì. Dính vào cơ sở càng nhiều càng tốt.
• gỡ bỏ tất cả các phần mềm bạn không sử dụng. Nếu là máy chủ: không có máy tính để bàn; sử dụng dòng lệnh.
• tạo bản sao lưu, viết kế hoạch khẩn cấp và thực hành chúng

xáo trộn mã ứng dụng

Điều đó không bao giờ hoạt động. Bạn nên coi bất kỳ ai không có quyền truy cập nhưng đang có quyền truy cập vào hệ thống của bạn phải đủ thông minh để xem qua điều đó.

Một điều mà chúng tôi hiện đang chuyển sang là chia tách các máy chủ: phần mềm, cơ sở dữ liệu và máy chủ jasperserver của chúng tôi đều là phiên bản riêng của chúng. 2 cái cuối cùng KHÔNG có kết nối với internet và chỉ có thể nói chuyện với máy chủ chứa phần mềm.

Bạn dường như đang phát minh lại thiết bị.

• Một thiết bị là một gói OS + Software đi kèm, đôi khi có cả phần cứng nữa. Khi được cài đặt, người dùng không có thông tin đăng nhập hoặc quyền truy cập vào HĐH; cấu hình và hoạt động chỉ xảy ra trên giao diện phần mềm hướng tới người dùng, GUI hoặc API.
• Ví dụ tại https://ubuntu.com/appliance

Trong Ubuntu, một thiết bị được tạo dễ dàng nhất bằng Ubuntu Core với Snap tùy chỉnh của riêng bạn ở trên cùng. Ubuntu Core và Snaps được thiết kế cho kiểu sử dụng này.

Ubuntu Server KHÔNG được thiết kế cho trường hợp sử dụng mà bạn mô tả.