Debian 5.0.5에는 상당히 표준적인 디스크 암호화 설정이 있습니다 : 암호화되지 않은 /boot파티션 및 sdaX_crypt다른 모든 파티션을 포함하는 암호화 .
이제 이것은 헤드리스 서버 설치이며 키보드없이 부팅 할 수 있기를 원합니다 (지금은 키보드와 모니터가 연결된 상태에서만 부팅 할 수 있습니다).
지금까지 /boot파티션을 USB 드라이브 로 옮기고 키를 자동 입력하도록 약간 수정했습니다 ( askpass부팅 스크립트에 전화가 있다고 생각합니다 ). 이 방법으로 헤드리스 부팅을 할 수 있습니다. 부팅시 플래시 드라이브 만 있으면됩니다.
내가 알다시피, 문제는
initrdUSB에서 부팅 파티션을 다시 생성해야하는데 지루한 것 같습니다.질문 : 내가하고 싶은 일에 사용할 수있는 표준 유지 관리 솔루션이 있습니까? 아니면 다른 곳을보아야합니까?
답변:
그러나 키를 일반 텍스트로 남겨두면 전체 디스크 암호화의 요점은 무엇입니까?
이를 위해서는 Microsoft와 Big Media가 자체 악의적 인 사용자 정복 목적을 위해이를 신뢰하기 전에 Trusted Computing Platform과 같은 것이 필요합니다.
아이디어는 마더 보드에 키를 고정하는 칩을 가지고 있으며 실행중인 소프트웨어가 신뢰할 수있는 기관 (사용자)에 의해 올바르게 서명되었음을 확인한 경우에만 키를 제공하는 것입니다. 이 방법으로 키를 쉽게 보지 않고 대화식으로 서버를 부팅 할 필요가 없습니다.
Trusted Computing이 어떤 용도 로든 사용 하는 것을 본 적이 없습니다. 실제로 최종 사용자에게 유용 할 수 있습니다 .
~/.ssh. 전체 디스크 암호화로 헤드리스 서버를 부팅하고 키를 꺼내고 싶습니다. 공격자가 암호화되지 않은 부팅 파티션을 수정하고 키를 훔칠 수 있다는 것을 알고 있습니다 (어쨌든 소프트웨어 기반의 일반 암호 버전과 같이).
/boot).
Mandos (나와 다른 사람들이 작성한)는이 문제를 해결합니다.
Mandos는 암호화 된 루트 파일 시스템이있는 서버를 무인 및 / 또는 원격으로 재부팅 할 수있는 시스템입니다. FAQ 목록을 포함한 자세한 내용 은 소개 매뉴얼 페이지 를 참조하십시오.
즉, 부팅 서버는 네트워크를 통해 안전한 방식으로 암호를 얻습니다. 자세한 내용은 README를 참조하십시오.