Ich habe mein altes HomeNAS, aus der Versenkung geholt, bisschen aufgepeppt und das alte Squeeze mit Softraid durch ein aktuelles Debian Jessie mit luks crypto/btrfs ersetzt.
Da die Maschine nur 2 GB RAM hat, wäre ich mit meinem präferierten OS “FreeBSD” mit ZFS nicht weit gekommen
Kriterien für die neue OS Umgebung waren:
– Full Disk Encryption
– Remote Entschlüsselung beim Bootprozess (reboot safe) mit Dropbear
– Integritätsprüfung der unverschlüsselten /boot (btrfs) Partition
– lxc-to-go für gitlab, etherpad-lite & samba – Provisioning Templates
– boot_btrfs_nested_subvol
– Btrfs send/receive Backup Target
Die Festplattenpartitionierung sieht wie folgt aus:
Es gibt schon gute Howtos im Netz von daher folgt jetzt nur eine Auflistung:
—> Voll-verschlüsseltes-System via SSH freischalten
—> How To Use Tripwire to Detect Server Intrusions on an Ubuntu VPS
SystemD Unit File für Acer H340 Linux Daemon
$ cat /lib/systemd/system/mediasmartserver.service [Unit] Description=MediaSmartServer After=udev.service [Service] #/ Type=simple #/ User=root #/ Group=root ExecStart=/usr/sbin/mediasmartserverd --activity --update-monitor RemainAfterExit=yes ExecStop=/usr/bin/killall mediasmartserverd Restart=on-failure RestartForceExitStatus=11 [Install] WantedBy=multi-user.target # EOF $
tripwire /etc/rc.local check
$ cat /etc/rc.local ### tripwire check // ### CHECKTRIPWIRE=$(tripwire --check | grep "Total violations" | awk '{print $4}') if [ "$CHECKTRIPWIRE" = "0" ]; then : # dummy else echo "---> !!! /boot compromised !!! <---" fi ### // tripwire check ### $
Viel Erfolg