TFTP / NFS를 통해 Ubuntu 전체 디스크 암호화가 잠금 해제 되었습니까?

전체 디스크 암호화로 안전한 Ubuntu 서버를 설정하고 있습니다. 그들은 작은 부팅 파티션과 나머지 파티션을 제공하기 위해 LVM을 가진 큰 LUKS 암호화 디스크를 가지고 있습니다. 현재 부팅시 암호가 필요하도록 구성되어 있습니다. 그러나 TFTP 서버, NFS 공유 등에서 암호 해독 키를 얻는 방법이 있는지 궁금하여 콘솔 액세스가 필요없이 서버를 재부팅 할 수있었습니다. 나는 여전히 키 서버를 암호화하고 콘솔 액세스와 그것을 부팅하기 위해 암호 문구가 필요하지만 한 상자에 암호 문구를 입력하면 20 개의 암호화 된 서버가 될 것입니다.

이것이 모두 가상 환경에 있기 때문에 나머지 네트워크와 연결되지 않은 주요 트래픽에 대해 완전히 별도의 네트워크를 만듭니다. 그래도 여전히 위험하지만, 주요 목표는 WAN의 외부 침입이 디스크 암호화가 도움이 될 수있는 것이 아니기 때문에 서버를 물리적으로 압류하는 것입니다.

이것을 달성 할 수있는 방법이 있습니까? 내가 이해하려고하는 것이 말이됩니까?

암호 해독 키를 요청하는 사람에게 암호 해독 키를 보내는 서버가 있다면 디스크 암호화를 사용하는 데 큰 도움이되지 않습니다. 아직 부팅되지 않은 클라이언트에 대해서는 의미있는 인증을 수행 할 수 없습니다. 가장 좋은 방법은 공격자가 쉽게 스푸핑 할 수있는 MAC 주소를 확인하는 것입니다.

그럽에서? 예, 가능합니다. 이론에 의하면. 그러나 아직 완료되지 않았습니다. GRUB 모듈을 작성 (또는 수정)해야합니다.

다운로드 할 코드가 initrd에 있는지 신경 쓰지 않는다면 실제로는 매우 간단합니다. "keyscript"는 키를 반환하는 스크립트입니다. "man crypttab"을 참조하십시오. 이 파일은 initramfs에 자동으로 포함되지만 부팅시 호출해야하는 바이너리를 포함하려면 "initramfs-tools" "hook"스크립트를 작성해야합니다. (IE TFTP 프로그램)

그래도 가치있는 일처럼 들립니다. "네트워크 케이블을 뽑을 때 해당 키를 삭제하도록 프로그램 된 RAM에 키가있는 소형 배터리 전원 공급 컴퓨터"라고 생각했습니다. 이렇게하면 누군가 컴퓨터를 훔치면 데이터를 얻지 못합니다. 각 컴퓨터에 암호문을 입력하는 것만 큼 안전하지는 않지만 도난 당할 수있는 USB 키보다 훨씬 안전하고 훨씬 사용하기 쉽습니다.

다른 관할 구역에있는 다른 사람에게 다른 키만 알고 있는지 확인하면 어느 정도 경찰에 대한 증거가됩니다. 그들은 컴퓨터를 사용할 수는 있지만 해독 할 수있는 방법이 없으며 다른 사람을 소환 할 수도 없습니다. (예를 들어, 당신처럼)