Ich habe ein Ubuntu-System, das von einer kleinen NVME-Festplatte bootet und dabei Softwareverschlüsselung, TPM usw. verwendet, um Datenverlust im Falle eines Diebstahls zu verhindern. Das System ist mit angepasster PCIe-Hardware verbunden, um Daten (möglicherweise sehr große Datenmengen) aufzuzeichnen.
Der Endbenutzer interagiert mit dem System über eine Webschnittstelle und darf keine Benutzerkonten auf dem System verwenden oder direkt über Tastatur/Maus/Monitor damit interagieren. Das System verfügt über mehrere große Laufwerke, die die vom System aufgezeichneten Daten enthalten sollen. Diese Laufwerke können nach Belieben des Endbenutzers verschlüsselt werden (oder nicht).
Die großen Festplatten sind SED-fähig (nicht OPAL-kompatibel). Wenn das SED-Passwort gesetzt ist ( hdparm --user-master u --security-set-pass "$password" /dev/...
), sehen wir, dass die Festplatten hdparm --user-master u --security-unlock "$password" /dev/...
nach dem Entfernen und erneuten Einstecken in das Hostsystem nicht ohne Passwort zugänglich sind ( ). Ausgezeichnet, die Verschlüsselung funktioniert – unsere Daten sind sicher (OK, sicherer).
Beim Aus- und Wiedereinschalten hält das System jedoch während des POST an, um für jedes Laufwerk (es gibt 12 davon!) ein Kennwort abzufragen. Dies blockiert den Startvorgang. Für uns ist das natürlich nicht ideal, da wir einen Monitor und eine Tastatur anschließen und den Authentifizierungsschlüssel für jede Festplatte eingeben müssen. Diese Festplatten müssen beim Start nicht entsperrt werden. Wir können sie später entsperren (mit dem obigen Entsperrbefehl), wenn das System läuft und der Systembenutzer die Bereitstellung anfordert.
Hat jemand eine Idee, wie wir verhindern können, dass die Kennwortabfrage den Startvorgang blockiert?