Mam dość standardową konfigurację szyfrowania dysku w Debian 5.0.5: niezaszyfrowaną /boot
partycję i zaszyfrowaną, sdaX_crypt
która zawiera wszystkie inne partycje.
Teraz jest to instalacja serwera bezgłowego i chcę móc uruchomić go bez klawiatury (teraz mogę uruchomić go tylko z klawiaturą i monitorem).
Do tej pory mam pomysł, aby przenieść /boot
partycję na dysk USB i wprowadzić niewielkie modyfikacje, aby automatycznie wprowadzić klucz (myślę, że askpass
w skrypcie rozruchowym jest tylko wywołanie ). W ten sposób mogę uruchomić komputer bez głowy, wystarczy mieć dysk flash w czasie uruchamiania.
Moim zdaniem jest z tym problem
- Muszę zainwestować czas w rozszyfrowanie wszystkich drobiazgów, aby działało,
- Jeśli jest aktualizacja, która się regeneruje
initrd
, muszę ponownie wygenerować partycję rozruchową na USB, co wydaje się nużące.
Pytanie: czy jest dostępne standardowe rozwiązanie dla niskich kosztów utrzymania tego, co chcę robić? A może powinienem szukać gdzie indziej?
źródło
Ale jaki jest sens pełnego szyfrowania dysku, jeśli po prostu zostawiasz klucze leżące w postaci zwykłego tekstu?
Aby to zadziałało, potrzebujesz czegoś takiego, czym powinna być platforma Trusted Computing Platform, zanim Microsoft i Big Media porwały ją dla własnych złych celów ograniczania użytkowników.
Chodzi o to, aby układ scalony trzymał klucze na płycie głównej i przekazywał klucze tylko wtedy, gdy jest sprawdzone, czy uruchomione oprogramowanie zostało poprawnie podpisane przez zaufany organ (ciebie). W ten sposób nie pozostawiasz kluczy w zasięgu wzroku i nie musisz uruchamiać serwera interaktywnie.
Szkoda, że nigdy nie widziałem, aby Trusted Computing był dobrze wykorzystywany , co może być przydatne dla użytkownika końcowego .
źródło
~/.ssh
. Chcę tylko móc uruchomić bezgłowy serwer z pełnym szyfrowaniem dysku i wyjąć klucz. Zdaję sobie sprawę, że atakujący może zmodyfikować niezaszyfrowaną partycję rozruchową i ukraść klucz (tak jak w przypadku zwykłej wersji hasła programowej), ale chronię tylko przed przypadkową kradzieżą./boot
).Mandos (które napisałem ja i inni) rozwiązuje ten bardzo problem:
Krótko mówiąc, serwer rozruchowy otrzymuje hasło przez sieć w bezpieczny sposób. Szczegółowe informacje można znaleźć w pliku README.
źródło