Linuxのフルディスク暗号化とパスワードレス認証

Linuxのフルディスク暗号化とパスワードレス認証

Debian 5.0.5 にはかなり標準的なディスク暗号化設定があります。暗号化されていない/bootパーティションとsdaX_crypt他のすべてのパーティションを含む暗号化されたパーティション。

これでこれはヘッドレスサーバーのインストールであり、キーボードなしで起動できるようにしたいです(現在はキーボードとモニターが接続されている場合にのみ起動できます)。

これまでは、パーティションをUSBドライブに移動し、キーを自動的に入力するように少し変更するというアイデアがあります(ただ起動スクリプトのどこかで呼び出されたようです/boot)。askpassこれによりヘッドレスで起動でき、起動時にフラッシュドライブを接続するだけです。

私の考えでは、その問題は次のとおりです。

  1. 正しく機能するには、すべての詳細を把握するために時間を費やす必要があり、
  2. アップデートがあり、再生成が必要な場合は、initrdUSBのブートパーティションを再生成する必要があります。これは面倒です。

質問:私が望む作業のメンテナンスが少ない標準的なソリューションはありますか?それとも全く別の場所を見なければなりませんか?

答え1

パスワードの代わりにキーを要求するようにシステムを設定し、一部のスクリプトを変更してUSBスティックからこのキーを取得できます。私が一つ見つけた上海Debian Lennyのプロセスです。最後に、新しいバージョンの Debian に必要な変更を説明するいくつかの説明があります。

答え2

しかし、キーをプレーンテキストで保持したい場合は、フルディスク暗号化を使用することはどういう意味ですか?

これを達成するには、信頼できるコンピューティングプラットフォームのようなものが必要であり、マイクロソフトと大規模なメディアは邪悪なユーザー抑制の目的でそれを奪いました。

アイデアは、チップがマザーボードのキーを保持し、実行中のソフトウェアが信頼できる機関(あなた)によって適切に署名されていることを確認するときにのみキーを提供することです。これにより、キーが目立たなくなり、インタラクティブにサーバーを起動する必要がなくなります。

残念ながら、私は信頼できるコンピューティングが適用されたことを見たことがありません。とても役に立つ、実際にはエンドユーザーに便利

答え3

マンドス(私と他の人が書いた)問題を解決しました。

Mandosは、暗号化されたルートファイルシステムを持つサーバーを無人および/またはリモートで再起動できるシステムです。バラよりマニュアルページについてよくある質問のリストを含む詳細をご覧ください。

つまり、安全な方法でネットワーク経由でパスワードを取得するには、サーバーを起動します。詳細については、追加情報ファイルを参照してください。

関連情報