Я хотел бы, чтобы каталог eCryptfs «безопасно» автоматически монтировался при загрузке без входа в систему. Мой сценарий таков: у меня есть встроенный сервер ArchLinux (на базе ARM), который использует съемную карту microSD для постоянного хранения и файловой системы.
Мне бы хотелось иметь зашифрованный каталог на карте microSD, чтобы, если кто-то вытащит карту microSD и попытается скопировать ее, он не смог бы получить доступ к файлам в зашифрованном каталоге.
Моя мысль была такой:
Используйте dmidecodeдля получения идентификатора и «аппаратного отпечатка» сервера, а также используйте хэш выходных данных dmidecodeв качестве парольной фразы для шифрования каталога.
Итак, я хочу при загрузке извлечь dmidecodeинформацию, хешировать ее, а затем использовать eCryptfs для автоматического монтирования, используя хеш в качестве парольной фразы.
Таким образом, парольная фраза нигде не хранится, она извлекается при загрузке и используется для разблокировки. Очевидная слабость в том, что кто-то, посмотрев на последовательность загрузки, может увидеть, как она работает, а затем получить парольную фразу, имея физический доступ к серверу. Поскольку она специфична для сервера (предполагая уникальный серийный номер процессора), они не могли получить похожее встроенное серверное оборудование, им нужно было то, которое привязано к конкретной карте microSD.
В первую очередь это должно служить сдерживающим фактором для кражи карты microSD (но не встроенного сервера) и копирования ее содержимого.
Думаю, мой главный вопрос: как мне добавить это в последовательность загрузки? Я использую Arch Linux v3 на оборудовании на базе ARM.