Я настроил наш новый сервер на работе так, чтобы у него был зашифрованный жесткий диск. При запуске он запрашивает наш пароль перед загрузкой. Отлично. За исключением того, что я только что понял, что мы все время подключаемся к серверу по ssh. Что делать, если мне нужно будет перезагрузить машину удаленно или электричество отключится на выходных.
Есть ли способ обойти это? Я все равно хотел бы зашифровать весь диск.
Спасибо
решение1
Безопасного пути решения этой проблемы не существует.
Или вы:
- Вводите пароль автоматически. Тем самым сводя на нет безопасность.
- Или вы вводите его вручную при загрузке.
- Или вы вводите его вручную после загрузки небольшого незашифрованного раздела.
Последний вариант позволяет загрузить минимальную систему, в которую можно войти по SSH, а затем вручную смонтировать разделы с защищенными данными, но он также ослабляет безопасность, поскольку злоумышленники могут скомпрометировать эту незашифрованную часть и ждать, пока вы введете пароль шифрования.
Если ваш сервер оснащен функцией удаленного управления (например, Dells DRAC, HP ILO и т. д.) и находится в защищенной сети, то вы также можете рассмотреть возможность использования ее для удаленного доступа к консоли и ввода пароля (своего рода удаленный вариант 2). Это предполагает, что вы доверяете функциям удаленного управления и сети.
решение2
Да, есть способ обойти это, см. комментарий Takkat. Вам нужны dropbear и busybox в initramfs, чтобы вы могли подключиться к машине по ssh и ввести пароль. Подробности см. по ссылке выше.
(я полагаю, ваш раздел /boot в любом случае не зашифрован)