내 시스템은 매우 민감한 데이터로 가득 차 있으므로 가능한 많은 데이터를 암호화해야합니다.
부팅 할 때마다 긴 암호를 요구하는 암호화 된 데비안 설치가 있습니다. 비밀번호를 원격으로 입력 할 수 있도록 설정하는 간단한 방법이 있습니까?
다른 배포판에서 할 수 있다면 데비안 대신 다른 것을 설치해도 상관 없습니다.
2
어떤 종류의 공격 벡터가 걱정됩니까? 하드웨어 키 저장소 (개인 키는 소프트웨어로 추출 할 수 없지만 해당 하드웨어를 소유 한 사람은 귀하의 콘텐츠를 해독 할 수 있음)가 적절합니까? (BTW, 많은 전체 디스크 암호화 시스템은 마스터 키를 사용하면 마스터 키를 잠금 해제 한 다음 해당 키를 RAM에 저장합니다. 즉, 충분한 권한이있는 사람은 잠금을 해제 한 시스템에서 마스터 키를 복사 할 수 있습니다. 절대 암호를 얻지 마십시오. 하드웨어에서 실제 암호 해독을 수행하는 것이 더 안전 할 수있는 곳입니다).
—
Charles Duffy
@CharlesDuffy 주요 관심사는 서버 (또는 디스크)가 물리적으로 도난당하는 것이므로 하드웨어 키도 문제가되지 않습니다. 도난 당할 수 있기 때문입니다. 특히 40 + 기호 파일 시스템 암호 및 20 + 기호 루트 암호 (전체 시스템에서 유일한 사용자)를 설정하므로 대부분의 경우 안전해야합니다.
—
user2363676
제거 및 도난 또는 하드웨어 전원이 여전히 켜져있는 동안 공격자가 물리적 액세스를 얻는 것에 대해 걱정하십니까? 누군가 새 장치를 PCI 버스에 핫 플러그 할 수있는 경우 실제 메모리 사본을 만들 수 있으므로 실행중인 잠금 해제 된 시스템에서 암호화 키를 훔칠 수 있습니다. 키를 암호화하는 데 사용 된 비밀번호를 도용 할 수는 없지만 키 자체가있는 경우에는 관련이 없습니다.
—
Charles Duffy
또 다른 공격 경로는 다른 사람이 부팅 순서를 수정하여 암호 해독 / 잠금 해제 프로세스 중에 암호 사본을 만들고 시스템을 재부팅 한 다음 로그인 및 잠금 해제를 기다립니다 (추가 한 코드가 사본을 저장하도록 함) 하드웨어를 도용하기 전에 대역 외의 암호). 포괄적 인 위협 모델을 제시하고이를 완화하는 것은 때때로 까다로울 수 있습니다. (나는 madscientist159가 이미 그 가능성을 지적한 것을 본다).
—
Charles Duffy