複数のハードドライブのロックを解除するLUKSについて一度尋ねました。Linux:LUKSと複数のハードドライブ。
さて、関連パーティションを自動的にロック解除するために使用されるキーファイルを安全に保存する方法を知りたいと思います。
私の計画は(可能であれば):
パスワードが必要なLUKSを使用した小型USBドライブの暗号化
起動時に最初のドライブとしてパスワードを使用してロックを解除する
たとえば、/ testなどの特定のマウントポイントにマウントします(これは可能ですか?)
これで、鍵ファイルを安全に読み取ることができます: /test/keyfile
パスワードを要求せずにキーファイルを使用して他のドライブのロックを解除してください。
Luksは、セキュリティレベルを確保するために、他のドライブのロックが解除されるとすぐにUSBドライブを閉じます。
通常どおり、/、/usr、/var、その他のマウントポイントを自動的にマウントします。
大丈夫ですか?デフォルトでは、私はLUKSキーファイルをパスワードで暗号化されたLUKS USBドライブに保存します。このドライブはパスワードが一度だけ必要であり、他のすべてのドライブは追加のアクションなしでロック解除できます。 USBドライブをまずロック解除してからマウントし、別のドライブからキーファイルにアクセスしようとしている方法があるかどうかわかりません。また、自動化の観点から他のドライブをマウントする前に/etc/fstabおよび/etc/crypttabにアクセスできる必要があると思いますが、ファイルシステム全体がLUKS暗号化されている場合は不可能です。
できない限りLUKSの仕組みの完全な手動構成:
Luks は /dev/sdc1 usb_keyfile を開きます。
mount /dev/mapper/usb_keyfile /keyfile (これは可能ですか?)
LuksOpen --keyfile /keyfile/key /dev/sda1 disk1
LuksOpen --keyfile /keyfile/key /dev/sdb1 disk2
Luks は /dev/sdc1 を閉じます。
デフォルトでは、必要なモジュールがロードされるとすぐにシェルスクリプトを実行し、自動LUKSパスワードプロンプトを無効にする機能です。
その他の詳細
- 使用されたディストリビューション:Gentoo GNU/Linux(amd64)またはDebian GNU/Linux(amd64)。このプロセスを複数のインストールに適用したいからです。
答え1
あなたの方法はよさそうだ。しかし、いくつかのコメントは次のとおりです。
rootfsを暗号化するには、initrdを使用する必要があります(暗号化されたパーティションを処理するための最小限の暗号化されていないシステムを保持します)。
USBデバイスが取り外し可能な場合は、initrdとカーネルの両方をUSBに保存して、改ざん防止を強化することができます(USBが承認されていない手に入らないことを保証すると仮定して)。これは通常rootfsを暗号化する理由です。カーネルとinitrdの両方がリムーバブルメディアにある場合、メディアを単に削除して、誰も実行中のシステムでカーネル(またはinitrd)を変更できないようにすることができます。
サーバーの内部にインストールする場合、これは確かにオプションではありませんが、もう一度質問は、ハードドライブの1つに小さなパーティションを使用するのではなく、これらのデバイスを持つことが合理的かどうかです。たとえば、システム上のすべてのドライブがRAIDにある場合は、rootfsをUSBにも挿入できます。しかし、内部的に接続されたUSBフラッシュデバイスの興味深い選択肢は、アダプタを介してATAインターフェイスに接続されたCompactFlashカードです。
一部のディストリビューションは暗号化されたルートに既製のソリューションを提供し、一部はそうではありません。ただし、ほとんどは「実際の」ルートをマウントする前にinitrdスクリプトに数行のコードを入力する問題です(たとえば、マニュアルページを参照)。
pivot_root
通常、セクション2(syscall)と8(プロシージャに慣れていない場合はセカンダリ)にあります。USBドライブが損傷した場合に備えて、バックアップキーとパスワードを覚えておいてください。 LUKS は、ヘッダーの破損に関してやや一方的なアプローチをとります。ヘッダーの単一セクタ(より正確にはキーウェイ)が死んだ場合、それをマウントできません。これは、デバイス自体で実行されるブロックの再割り当てによってヘッダーの削除が効果的に妨げられないようにするためです(フラッシュベースのデバイスがよく行われる方法)。キーはキースロット全体に分散され、すべてのデータを再構成する必要があります。 - いいえ冗長性。バラよりクレメンス・フルアーズのホームページもっと深い議論をしましょう。
つまり、おそらくUSBの簡単な暗号化デバイスで十分
PLAIN MODE
ですman cryptsetup
。または暗号化されたファイルなどを使用してくださいopenssl enc
。暗号化されたパーティション自体の場合でも、前者は実際にオプションです。