Me gustaría tener un directorio eCryptfs montado "de forma segura" automáticamente en el arranque sin iniciar sesión. Mi escenario es el siguiente: tengo un servidor ArchLinux integrado (basado en ARM) que usa una tarjeta microSD extraíble para almacenamiento persistente y el sistema de archivos.
Me gustaría tener un directorio cifrado en la tarjeta microSD de modo que si alguien saca la tarjeta microSD e intenta copiarla, no pueda acceder a los archivos en el directorio cifrado.
Mi pensamiento fue este:
Úselo dmidecodepara obtener la identificación y la "huella digital del hardware" de un servidor y use un hash de la dmidecodesalida como frase de contraseña para cifrar el directorio.
Entonces, lo que quiero hacer es, en el arranque, extraer dmidecodela información, aplicar un hash y luego usar eCryptfs para montar automáticamente usando el hash como frase de contraseña.
Por lo tanto, la frase de contraseña no se almacena en ningún lugar, se extrae al arrancar y se usa para desbloquearla. La debilidad obvia es que alguien que observe la secuencia de arranque podría ver cómo funciona y luego obtener la frase de contraseña al tener acceso físico al servidor. Dado que es específico del servidor (suponiendo un número de serie único para el procesador), no podrían obtener un hardware de servidor integrado similar, necesitarían uno vinculado a la tarjeta microSD específica.
Principalmente, esto sirve para disuadir a alguien de robar la tarjeta microSD (pero no el servidor integrado) y copiarla.
Supongo que mi pregunta fundamental es: ¿cómo agregaría esto a la secuencia de inicio? Estoy usando Arch Linux v3 en hardware basado en ARM.