私は、盗難時のデータ損失を軽減するためにソフトウェア暗号化、TPM などを使用して小さな NVME ディスクから起動する Ubuntu システムを持っています。システムは、カスタマイズされた PCIe ハードウェアとインターフェイスして、データ (おそらく非常に大量のデータ) を記録します。
エンド ユーザーは Web インターフェイスを介してシステムと対話します。システム上のユーザー アカウントを使用したり、キーボード/マウス/モニターで直接対話したりすることはありません。システムには、システムによって記録されたデータを格納するための大容量ドライブがいくつかあります。これらのディスクは、エンド ユーザーの都合に合わせて暗号化 (または暗号化しない) できます。
大容量ディスクは SED 対応です (OPAL 準拠ではありません)。SED パスワードが設定されている場合 ( hdparm --user-master u --security-set-pass "$password" /dev/...
)、ディスクを取り外してホスト システムに再挿入した後、パスワードなしではディスクにアクセスできないことがわかります ( hdparm --user-master u --security-unlock "$password" /dev/...
)。暗号化が機能しており、データは安全です (OK、より安全になりました)。
ただし、電源を入れ直すと、システムは POST 中に一時停止し、各ドライブ (12 台あります!) のパスワードを要求します。これにより、起動プロセスがブロックされます。モニターとキーボードを接続し、各ディスクの認証キーを入力する必要があるため、これは明らかに理想的ではありません。起動時にこれらのディスクのロックを解除する必要はありません。システムが起動して実行され、システム ユーザーがディスクのマウントを要求したときに、後で (上記の unlock コマンドを使用して) ロックを解除できます。
パスワードプロンプトがブートプロセスをブロックするのを防ぐ方法について、何かアイデアをお持ちの方はいらっしゃいますか?