it-swarm-ko.tech

Linux에서 암호없는 인증으로 전체 디스크 암호화

Debian 5.0.5에는 암호화되지 않은 /boot 파티션과 다른 모든 파티션을 포함하는 암호화 된 sdaX_crypt의 상당히 표준적인 디스크 암호화 설정이 있습니다.

이제 이것은 헤드리스 서버 설치이며 키보드없이 부팅 할 수 있기를 원합니다 (지금은 키보드와 모니터가 연결된 상태에서만 부팅 할 수 있습니다).

지금까지 /boot 파티션을 USB 드라이브로 옮기고 키를 자동 입력하기 위해 약간의 수정을 할 생각이 있습니다 (부팅 스크립트 어딘가에 askpass에 대한 호출 만있는 것 같습니다) . 이렇게하면 헤드리스로 부팅 할 수 있습니다. 부팅시 플래시 드라이브 만 있으면됩니다.

내가보기에 그것의 문제는

  1. 나는 그것이 작동하도록 모든 비트와 조각을 파악하는 데 시간을 투자해야합니다.
  2. initrd을 다시 생성하는 업데이트가 있으면 USB에서 부팅 파티션을 다시 생성해야하는데 지루해 보입니다.

질문 : 내가 원하는 작업에 사용할 수있는 낮은 유지 보수 솔루션이 있습니까? 아니면 모두 다른 곳을 찾아야합니까?

16
Alex B

암호 대신 키를 요구하도록 시스템을 설정하고 USB 스틱에서이 키를 검색하도록 일부 스크립트를 변경할 수 있습니다. Debian Lenny에서이 프로세스에 대한 자세한 설명 을 찾았습니다. 최신 버전의 데비안에 필요한 변경 사항을 설명하는 메모가 마지막에 있습니다.

7
Marcel Stimberg

Mandos (저와 다른 사람들이 쓴)은 바로이 문제를 해결합니다.

Mandos는 암호화 된 루트 파일 시스템이있는 서버를 무인 및/또는 원격으로 재부팅 할 수있는 시스템입니다. FAQ 목록을 포함한 자세한 내용은 소개 매뉴얼 페이지 를 참조하십시오.

간단히 말해 부팅 서버는 네트워크를 통해 안전한 방식으로 암호를 가져옵니다. 자세한 내용은 README를 참조하십시오.

5
Teddy

그러나 키를 일반 텍스트로 두는 경우 전체 디스크 암호화의 요점은 무엇입니까?

작동하려면 Microsoft와 Big Media가 악의적 인 사용자 제복 목적을 위해이를 탈취하기 전에 신뢰할 수있는 컴퓨팅 플랫폼이 있어야했던 것과 같은 것이 필요합니다.

아이디어는 마더 보드의 키를 보유하는 칩을 가지고 실행중인 소프트웨어가 신뢰할 수있는 기관 (귀하)에 의해 올바르게 서명되었음을 확인한 경우에만 키를 제공하는 것입니다. 이렇게하면 키를 눈에 잘 띄지 않고 대화 형으로 서버를 부팅 할 필요가 없습니다.

Trusted Computing이 좋은 사용에 넣는 것을 본 적이 없어서 안타깝습니다. 실제로 최종 사용자에게 유용 일 수 있습니다.

5
user6097