Ich habe unseren neuen Server bei der Arbeit so eingerichtet, dass er eine verschlüsselte Festplatte hat. Beim Start fragt er vor dem Booten nach unserem Passwort. Großartig. Nur ist mir gerade aufgefallen, dass wir uns die ganze Zeit per SSH mit dem Server verbinden. Was ist, wenn ich die Maschine per Fernzugriff neu starten muss oder am Wochenende der Strom ausfällt?
Gibt es eine Möglichkeit, das zu umgehen? Ich möchte trotzdem die gesamte Festplatte verschlüsseln.
Danke
Antwort1
Es gibt keinen sicheren Weg, dies zu umgehen.
Entweder Sie:
- Das Passwort wird automatisch eingegeben. Dadurch wird die Sicherheit aufgehoben.
- Oder Sie geben es beim Booten manuell ein.
- Oder Sie geben es nach dem Booten einer kleinen unverschlüsselten Partition manuell ein.
Letzteres ermöglicht Ihnen das Booten eines Minimalsystems, in das Sie per SSH eine Verbindung herstellen und dann die Partitionen mit geschützten Daten manuell mounten können. Allerdings schwächt es auch die Sicherheit, weil dieser unverschlüsselte Teil kompromittiert werden kann und jemand darauf wartet, dass Sie das Verschlüsselungskennwort eingeben.
Wenn Ihr Server mit einer Fernverwaltungsfunktion ausgestattet ist (z. B. Dells DRAC, HP ILO usw.) und sich in einem sicheren Netzwerk befindet, können Sie diese auch verwenden, um aus der Ferne auf die Konsole zuzugreifen und das Kennwort einzugeben (eine Art Remote-Option 2). Dies setzt voraus, dass Sie den Fernverwaltungsfunktionen und dem Netzwerk vertrauen.
Antwort2
Ja, es gibt einen Weg, dies zu umgehen, siehe Takkats Kommentar. Sie benötigen Dropbear und Busybox in initramfs, damit Sie sich per SSH in die Maschine einloggen und das Passwort eingeben können. Weitere Informationen finden Sie unter dem obigen Link.
(Ihre /boot-Partition ist vermutlich sowieso unverschlüsselt)