職場の新しいサーバーを暗号化された HDD に設定しました。起動時に、ブート前にパスワードを要求されます。すばらしい。ただし、サーバーに常に SSH で接続していることに今気づきました。リモートでマシンを再起動する必要がある場合や、週末に停電した場合はどうなるでしょうか。
これを回避する方法はありますか? ディスク全体を暗号化しておきたいのですが。
ありがとう
答え1
これを回避する安全な方法はありません。
次のいずれかを実行します。
- パスワードを自動的に入力します。これによりセキュリティが無効になります。
- または、起動時に手動で入力します。
- または、暗号化されていない小さなパーティションを起動した後、手動で入力します。
最後の方法では、SSH で接続できる最小限のシステムを起動し、保護されたデータを含むパーティションを手動でマウントできますが、暗号化されていない部分が侵害され、暗号化パスワードの入力を待つことができるため、セキュリティも弱まります。
サーバーにリモート管理機能 (Dell DRAC、HP ILO など) が装備されており、それが安全なネットワーク上にある場合は、それを使用してコンソールをリモートで取得し、パスワードを入力することも検討できます (一種のリモート オプション 2)。これは、リモート管理機能とネットワークを信頼していることを前提としています。
答え2
はい、これを回避する方法があります。Takkat のコメントを参照してください。マシンに SSH で接続してパスワードを入力できるようにするには、initramfs に dropbear と busybox が必要です。詳細については、上記のリンクを参照してください。
(/boot パーティションは暗号化されていないと思います)