Ich möchte ein eCryptfs-Verzeichnis haben, das beim Booten automatisch und „sicher“ gemountet wird, ohne dass ich mich anmelden muss. Mein Szenario ist folgendes: Ich habe einen eingebetteten ArchLinux-Server (ARM-basiert), der eine entfernbare microSD-Karte für die dauerhafte Speicherung und das Dateisystem verwendet.
Ich hätte gerne ein verschlüsseltes Verzeichnis auf der microSD-Karte, sodass, wenn jemand die microSD-Karte herausnimmt und versucht, sie zu kopieren, er nicht auf die Dateien im verschlüsselten Verzeichnis zugreifen kann.
Mein Gedanke war folgender:
Verwenden Sie es dmidecode, um die ID und den „Hardware-Fingerabdruck“ eines Servers abzurufen und einen Hash der dmidecodeAusgabe als Passphrase zum Verschlüsseln des Verzeichnisses zu verwenden.
Ich möchte also beim Booten dmidecodedie Informationen abrufen, sie hashen und dann mithilfe von eCryptfs das automatische Mounten unter Verwendung des Hashs als Passphrase durchführen.
Die Passphrase wird also nirgendwo gespeichert, sondern beim Booten abgerufen und zum Entsperren verwendet. Die offensichtliche Schwachstelle ist, dass jemand, der sich die Boot-Sequenz ansieht, sehen könnte, wie sie funktioniert, und dann die Passphrase erhalten könnte, indem er physischen Zugriff auf den Server hat. Da sie spezifisch für den Server ist (unter der Annahme einer eindeutigen Seriennummer für den Prozessor), könnten sie keine ähnliche eingebettete Serverhardware erhalten, sondern bräuchten die, die an die spezifische microSD-Karte gebunden ist.
Dies soll in erster Linie als Abschreckung dafür dienen, dass niemand die microSD-Karte (aber nicht den eingebetteten Server) stiehlt und kopiert.
Meine entscheidende Frage ist wohl: Wie füge ich dies zur Startreihenfolge hinzu? Ich verwende Arch Linux v3 auf ARM-basierter Hardware.