Ich habe mein altes HomeNAS, aus der Versenkung geholt, bisschen aufgepeppt und das alte Squeeze mit Softraid durch ein aktuelles Debian Jessie mit luks crypto/btrfs ersetzt.

Da die Maschine nur 2 GB RAM hat, wäre ich mit meinem präferierten OS „FreeBSD“ mit ZFS nicht weit gekommen

Kriterien für die neue OS Umgebung waren:
– Full Disk Encryption
– Remote Entschlüsselung beim Bootprozess (reboot safe) mit Dropbear
– Integritätsprüfung der unverschlüsselten /boot (btrfs) Partition
– lxc-to-go für gitlab, etherpad-lite & samba – Provisioning Templates
– boot_btrfs_nested_subvol
– Btrfs send/receive Backup Target

Die Festplattenpartitionierung sieht wie folgt aus:

Es gibt schon gute Howtos im Netz von daher folgt jetzt nur eine Auflistung:

—> Voll-verschlüsseltes-System via SSH freischalten

—> How To Use Tripwire to Detect Server Intrusions on an Ubuntu VPS

—> Linux daemon that controls the status LEDs of Acer Aspire EasyStore H340 and HP MediaSmart Server Ex485 (Originates from https://bitbucket.org/adaptation/mediasmartserverd).

SystemD Unit File für Acer H340 Linux Daemon

$
cat /lib/systemd/system/mediasmartserver.service

[Unit]
Description=MediaSmartServer
After=udev.service

[Service]
#/ Type=simple
#/ User=root
#/ Group=root
ExecStart=/usr/sbin/mediasmartserverd --activity --update-monitor
RemainAfterExit=yes
ExecStop=/usr/bin/killall mediasmartserverd
Restart=on-failure
RestartForceExitStatus=11

[Install]
WantedBy=multi-user.target
 
# EOF
$

tripwire /etc/rc.local check

$
cat /etc/rc.local

### tripwire check // ###
CHECKTRIPWIRE=$(tripwire --check | grep "Total violations" | awk '{print $4}')
if [ "$CHECKTRIPWIRE" = "0" ]; then
   : # dummy
else
   echo "---> !!! /boot compromised !!! <---"
fi
### // tripwire check ###
$