Debianサーバーのフルディスク暗号化?

Debianサーバーのフルディスク暗号化?

インストーラのフルディスク暗号化オプションを使用して、古いコンピュータ(i386)にDebian 10をインストールしました。

実行すると、画面に復号化パスワードを入力するまで何も実行されません。

そのため、起動後にマシンにSSH経由で接続できず、物理アクセスが必要です。

今、いくつかの質問があります。

1)起動後に暗号化されたパスワード要求を無効にできますか?

2)1回の操作でユーザーログインとディスクの復号化を一種の「マージ」する必要があります(奇妙な考えです:-)ここで私が選択できる唯一のオプションは、標準インストールと後でデフォルトパーティションを暗号化することだけです。そうですか?

2)インストーラのフルディスク暗号化オプションを使用してパーティションサイズを手動で設定できないのはなぜですか? (後にUbuntu版でもこれを観察しました)

あなたの考えに感謝します!

答え1

この制限を克服する方法はいくつかあります。ここに3つあります(3番目はマスターして統合するのが本当に難しいです)。

  • LUKSマスターキーをデコードするために使用されるパスワードを含むデバイス(USBキーなど)が必要です。これにより、 Debian は で説明されているようにキースクリプトを使用して起動時に自動的にこのキーを使用してpassdevに追加できます。/etc/crypttab/usr/share/doc/cryptsetup-run/README.Debian.gz。 USBキーを物理的に盗まれた場合、パスワードと暗号化が損なわれます。現在のインストールに追加できます。

  • リモートロック解除の使用ドロップベア、文書が含まれています。/usr/share/doc/dropbear-initramfs/README.initramfs: LUKS マスターキーのロックを解除するために、ブート段階で SSH を介してシステムに接続できます。サーバーが物理的に破損し、サーバーの起動が変更されると、リモートで入力されたパスワードと暗号化が破損する可能性があります。現在のインストールに追加できます。わずかに調整すると、以前の方法とこの方法を同時に使用することもできます(通常、ドロップビールは通常のキーボード入力と同時に使用できます)。

  • ところで、興味があれば、これはおそらく最も安全なアプローチであり、通常は信頼できないデータセンターに展開された暗号化サーバーファームをサポートするために複雑なインフラストラクチャが必要です。U字型クリップ、一般的に、Redhatによって開発されました(より多くのドキュメントが利用可能な場合:RHEL7RHEL8)。両方はい 包装Debianでは、統合が複雑になる可能性があります。これは次の機能に基づいています。シャミールの秘密共有、秘密は複数の場所に分散され、他の同様の機能を介して秘密を維持します。その目的は、セキュリティ上の損傷への抵抗を強化しながら、リモートでLUKSを自動的に復号することです。

最後の質問について:サイズを選択できるはずですが、セカンダリモードなしで手動で設定する必要があります。 Debian インストーラにはいくつかの欠点もあります。 LUKSとLVMを使用してパーティショニングステップを完了した後、心を変えて変更することは困難です(そして通常はインストールを再開する方が高速です)。メニューで質問の優先順位を変更することを選択すると、より多くのオプションが利用可能になります。

答え2

推測:1)起動時にパスワード要求を無効にすることはできません。 < - ディスクは暗号化されており、OSはそれを復号化しないと進行できません。システムが実行されていて、保存された資格情報を挿入して希望するユーザーに自動的にログインする機会を提供するKDEまたはGNOMEに入るときにパスワード要求を無効にすることとは異なります。

2) オペレーティングシステムが完全に起動すると、ユーザーログインが開始されます。ユーザーデータ(/homeディレクトリにある)のみを保護することをお勧めします。

次の2)ディスク全体の暗号化を要求すると、ディスク全体が暗号化されます。暗号化されたディスクにパーティションが作成されるため、暗号化する前にパーティションサイズを設定する理由はありません。

関連情報