Nextcloudを実行するRaspberry Pi 4(4GB)があります。すべてのデータとバックアップは外部USBドライブに保存されるため、VeraCryptコンテナを使用して暗号化します。 VeraCryptを使用してコンテナをマウントして解体するのはうまくいきます。
起動後にVeraCryptコンテナをインストールしたいと思います。私はこれを行う2つの方法があると思います。
- 起動するたびに、コマンドラインからコンテナを手動でマウントし、コンテナのパスワード、PIMなどを手動で入力します。
- スクリプトによるコンテナの自動マウント
私は2番目の解決策を好みますが、何とかパスワードを提供する必要があります。コマンドを実行できます。
veracrypt /media/backup/test.hc /media/backup/test/ --password=test --pim=20 -k "" --protect-hidden=no
起動時にパスワードは自動起動ファイルに表示されます...(ラズベリーパイからSDカードを削除し、上記のコマンドからパスワードを読むことができます)
だから私の質問は次のようになります 復号化パスワードを表示せずに手動で入力しなくてもVeraCryptコンテナを自動的にマウントするための合理的に安全な方法はありますか?
答え1
私は同様の問題に直面しました。自宅で外部バックアップを保存するためにガレージにサーバーを配置しました。 (自宅で火災が発生した場合、バックアップはリモートガレージに保管されます。)バックアップサーバーのボリュームはVeraCryptを使用して暗号化されます。パスワードは自宅のメインサーバーに保存されます。バックアップサーバーが起動したら、プライマリサーバーに接続してパスワード(RAMに保存されている)を取得し、そのパスワードを使用してVeraCryptボリュームのロックを解除します。ガレージ内のサーバーが盗まれ、電源が入ると(メインサーバー上の)パスワードは使用できなくなり、VeraCryptボリュームはロックされたままになります。したがって、泥棒はバックアップサーバーがLANに接続されている間だけデータにアクセスできます。私の場合は不可能です。
そのため、パスワードをLANとPiの外部の他の場所に保存すると、泥棒がPi、ブートSD、または接続されているドライブを盗んでも影響を受けません。