CLI から Linux に自動かつ安全に暗号化マウントする

CLI から Linux に自動かつ安全に暗号化マウントする

これは非常に具体的です...サーバーにリモートでログインできるようにしたいと思います。

  1. 最初に起動すると、ネットワークフックに基づいて外部サーバーに接続するためのスクリプトまたは一連の命令が実行されます (IP を生成する必要があり、Web 上にある必要はなく、ネットワークにアクセスできればよい)
  2. WebフックはIP、ユーザー名を記録します
  3. バックグラウンド キューでは、ネットワークにアクセス可能な外部システムが SSH 接続し (公開キーと秘密キーのペアを使用してこれがデフォルトで有効になっていると仮定)、暗号化されたマウントを設定できます。
  4. キーはマウントによってサーバーの外部に保存される
  5. 起動時に、リモート PC がデバイスに接続してマウントするマウント要求がトリガーされます。

さらに詳しい情報は?

  • これは CLI だけで可能ですか?
  • これが不可能な場合、他の CLI (無人スクリプト可能) の代替手段はありますか?
  • これを管理しやすくするオープンソース プロジェクトはありますか?

答え1

あなたの質問から私が理解しているのは、マシン B に保存されているキーを使用して、マシン A が暗号化されたドライブを自動的/無人/ユーザー入力なしでマウントできるようにしたいということだと思います。

もしこれが目的なら、SSHは必要ありません。AにSSHを許可するより簡単な方法があります。フェッチBからの重要な資料。

例えば、https経由でキーを取得するリンクローカル IPv6 UDP パケットを使用するまたは検討するマンドス(より複雑な問題を解決しようとし、それに応じてそれ自体もより複雑になります)。

これらのアプローチはすべて、キー マテリアルを取得するためにユーザーが入力したパスワードを要求する以外のアクションを実行するために (広義では) 「キースクリプト」を使用します。すべての GNU/Linux ディストリビューションがこれらをスムーズにサポートしているわけではありませんが、Debian 派生のディストリビューション (Ubuntu を含む) はサポートしています。

(私が上でリンクしたすべてのアプローチは、サポートinitramfs/initrd 環境からのリモートロック解除はサポートされていませんが、マシンが完全に起動すると、同様に機能します。

関連情報