Linuxでのパスワードなしの認証によるフルディスク暗号化
Debian 5.0.5でかなり標準的なディスク暗号化を設定しています:暗号化されていません/bootパーティション、および暗号化sdaX_cryptには、他のすべてのパーティションが含まれています。
現在、これはヘッドレスサーバーインストールであり、キーボードなしで起動できるようにしたいと考えています(現在のところ、キーボードとモニターが接続されている場合にのみ起動できます)。
これまでのところ、移動するという考えがあります/boot USBドライブにパーティションを作成し、キーを自動入力するようにわずかな変更を加えます(ブートスクリプトのどこかにaskpassへの呼び出しがあるだけだと思います)。このようにして、ヘッドレスで起動できます。起動時にフラッシュドライブが必要です。
私が見ると、それの問題は
- 私はそれを機能させるためにすべての要素を理解することに時間を費やす必要があります、
initrdを再生成する更新がある場合、USBでブートパーティションを再生成する必要がありますが、これは退屈な作業のようです。
質問:私がやりたいことに利用できる標準的な低維持管理ソリューションはありますか?それとも私は他の場所を一緒に見るべきですか?
パスワードではなくキーを要求するようにシステムをセットアップし、USBスティックでこのキーを検索するようにいくつかのスクリプトを変更できます。 Debian Lennyでこのプロセスの 詳細な説明 を見つけました。最後に、新しいバージョンのDebianに必要な変更を説明するメモがいくつかあります。
Mandos (私と他の人が書いた)がこの問題を解決します。
Mandosは、暗号化されたルートファイルシステムを持つサーバーを無人で、またはリモートで再起動できるようにするシステムです。 FAQリストを含む)の詳細については、 イントロのマニュアルページ を参照してください。
つまり、起動サーバーはネットワークを介して安全な方法でパスワードを取得します。詳細については、READMEを参照してください。
しかし、キーを平文のままにしておけば、ディスク全体を暗号化する意味は何でしょうか。
そのためには、MicrosoftとBig Mediaが悪意のあるユーザーを鎮圧する目的でプラットフォームを乗っ取る前に、Trusted Computing Platformが想定されていたようなものが必要になります。
アイデアは、マザーボードのキーを保持するチップを持ち、実行中のソフトウェアが信頼できる機関(あなた)によって適切に署名されていることが確認された場合にのみ、キーを提供することです。このようにすると、キーが見えにくくならないので、サーバーをインタラクティブに起動する必要がありません。
Trusted Computingが任意のgood useに置かれるのを見たことがないのは残念ですが、これは実際にはエンドユーザーにとって便利になる可能性があります。