USBメモリをキーとしてブート時にLUKSボリュームを自動的にマウント

USBメモリをキーとしてブート時にLUKSボリュームを自動的にマウント

私は新しいDebian Stretchインストールをセットアップしていますが、これは私にとって少し新しいものです。私はLinuxをかなり使用していますが、実際にサーバー管理者になったことはありません。このシステムまたは少なくとも一部のサービスは外部の世界に公開されるので、できるだけ安全に保ちたいと思います。ご存知のように、これはすべて「インターネット」という意味で見ることができます。私は銀行の金庫に住んでいないので、誰かが私の家に盗むことができることは完全に想像できることです。

サイズ512 MBのマザーボードの「はんだ付けされた」ボックスにはUSBメモリがあります。 / bootパーティションをそこに入れたいので、他のすべてのパーティションはLUKSを使用して暗号化され、上部にLVMを使用してパーティションを処理する2x4tbドライブを持つRAID1アレイにあります。これは私にとってはかなり良い考えのようですが、システムを再起動するたびに暗号化パスワードを入力する必要がない方法を探していました。したがって、明らかな質問は、設定全体に影響を与えずにパスワードやキーを保存する方法です。

(私の考えでは新しいものではありません)アイデアは、暗号化されたドライブをマウントするためにサーバーのUSBスロットの1つに物理的に挿入する必要があるUSBスティック(別名USBキー)にキーを入れることです。 USBキーをランダムデータで埋め、ファイルシステムを使用せずにUSBキーを暗号化せずに(この場合はパスワードを入力する必要があります)、セキュリティレベルを上げる方法も見つかりました。これをブロックデバイスとしてマウントし、ランダムゴミのランダムサブセットをキーとして使用します。すべて良いですが、どこから始めるべきかを終えます。

1)暗号化されたドライブをマウントする前にDebianにUSBスティックをマウントするように強制する方法は?おそらく、メモリをブロックデバイスとしてマウントし、メモリから読み取る必要があるすべての項目を読み込み、アンマウントしてから、読み取ったデータを使用して暗号化されたドライブをマウントするシェルスクリプトを作成できます。しかし、どこに接続する必要がありますか?

2)USBキーが正しいデータで表示されるまで開始を停止して待つことはできますか(無期限またはしばらくすると放棄して終了)それとも/bootパーティションのみを使用して起動し続け、悲惨に失敗するのでしょうか?

3) ブート時にUSBキーだけが必要になるようにすることができますが、暗号化されたFSをインストールした後、USBキーをターミナルに入れなくても安全に削除できますか(もちろん次回の再起動まで)。

関連情報