我已經在工作中設置了新伺服器以擁有加密的硬碟。啟動時,它會在啟動前詢問我們的密碼。偉大的。只是我剛剛意識到我們一直透過 ssh 登入伺服器。如果我需要遠端重新啟動機器或週末停電怎麼辦?
有沒有解決的辦法?我仍然希望對整個磁碟進行加密。
謝謝
答案1
沒有安全的方法來解決這個問題。
要嘛你:
- 自動輸入密碼。從而否定了安全性。
- 或者您在啟動時手動輸入它。
- 或者您在啟動一個未加密的小分割區後手動輸入它。
最後一個允許您啟動一個最小的系統,您可以透過SSH 進入其中,然後手動掛載具有受保護資料的分割區,但它也會削弱安全性,因為人們可以破壞這個未加密的部分並等待您輸入加密密碼。
如果您的伺服器配備了遠端管理功能(例如 Dells DRAC、HP ILO 等)並且位於安全網路上,那麼您也可以考慮使用它來遠端取得控制台並輸入密碼(一種遠端選項 2) 。這假設您信任遠端管理功能和網路。
答案2
是的,有一種方法可以解決這個問題,請參閱 Takkat 的評論。您需要 initramfs 中的 dropbear 和 busybox,以便您可以 ssh 進入機器並輸入密碼。詳情請參閱上面的連結。
(我想你的 /boot 分割區無論如何都未加密)