ログインせずに起動時に eCryptfs ディレクトリを「安全に」自動的にマウントしたいと考えています。シナリオは次のとおりです。永続的なストレージとファイル システム用に取り外し可能な microSD カードを使用する組み込み ArchLinux サーバー (ARM ベース) があります。
誰かが microSD カードを取り出してコピーしようとしても、暗号化されたディレクトリ内のファイルにアクセスできないように、microSD カードに暗号化されたディレクトリを作成したいと思います。
私の考えはこうでした:
dmidecodeサーバーの ID と「ハードウェア フィンガープリント」を取得し、出力のハッシュをパスフレーズとして使用してディレクトリdmidecodeを暗号化します。
私がやりたいのは、起動時にdmidecode情報を取得してハッシュ化し、そのハッシュをパスフレーズとして使用して eCryptfs で自動マウントすることです。
つまり、パスフレーズはどこにも保存されず、起動時に取得されてロック解除に使用されます。明らかな弱点は、起動シーケンスを見た人がその仕組みを理解し、サーバーに物理的にアクセスしてパスフレーズを取得できることです。パスフレーズはサーバー固有のものであるため (プロセッサに固有のシリアル番号があると仮定)、同様の組み込みサーバー ハードウェアを入手できず、特定の microSD カードに関連付けられたものが必要になります。
これは主に、microSD カード (組み込みサーバーではない) を盗んでコピーしようとする者に対する抑止力として機能します。
結局のところ、私の質問は、これをブート シーケンスに追加するにはどうすればよいかということです。私は ARM ベースのハードウェアで Arch Linux v3 を使用しています。