Полное шифрование диска на серверах Debian?
Параметр --exclude-fromуказывает файл, который локальный процесс rsync должен прочитать, чтобы добавить в список исключений. Он не поддерживает нотацию, которую вы использовали для чтения файла с удаленного хоста; он интерпретирует имя файла как путь к локальному файлу, поэтому вы получаете сообщение об ошибке failed to open exclude file username@example.com:remote/path/to/folder/to/sync/.rsyncignoreпри попытке открыть именно этот файл.
Я не думаю, что есть способ сделать то, что вы хотите, кроме как сначала передать файл .rsyncignoreна локальный хост, а затем сослаться на этот файл с помощью опции --exclude-from.
Вам может помочь использование параметра -F, указывающего для каждого -файла каталога .rsync-filter, который считывается на стороне источника.
Просто догадываюсь :1 )вы не можете отключить запрос пароля при загрузке < -ваш диск зашифрован и ОС не может продолжать работу без расшифровки. Это не похоже на отключение запроса пароля при входе в KDE или GNOME, в то время как в этом случае система работает, давая вам возможность автоматически войти в систему предпочитаемого пользователя, вставив сохраненные учетные данные.
2 )Логин пользователя вступает в силу, когда ОС полностью запущена! Рекомендуется для защиты ваших пользовательских данных (только в /home каталоге ).
следующие 2 )Если вы запросили полное шифрование диска, ваш диск будет зашифрован целиком. Разделы создаются на зашифрованном диске, поэтому нет необходимости задавать размер раздела перед шифрованием.
Существует несколько способов обойти это ограничение. Вот три из них (3-й действительно сложно понять и интегрировать ).
иметь устройство, такое как USB-ключ, содержащее кодовую фразу для декодирования главного ключа LUKS. Затем Debian может автоматически использовать этот ключ при загрузке со сценарием клавиш
passdevдля добавления в/etc/crypttab, как описано в/usr/share/doc/cryptsetup-run/README.Debian.gz. Если USB-ключ физически украден, парольная фраза и шифрование скомпрометированы. Его можно добавить при текущей установке.Используйте удаленную разблокировку с помощью dropbear , у которого есть документация в
/usr/share/doc/dropbear-initramfs/README.initramfs:, вы можете подключиться к системе по ssh на этапе загрузки, просто чтобы разблокировать мастер-ключ LUKS. Если сервер физически взломан и его загрузка изменена, то удаленно введенная парольная фраза и шифрование скомпрометированы.Его можно добавить при текущей установке. С некоторой настройкой, возможно, будет возможно, чтобы предыдущий метод и этот метод были доступны одновременно (обычно dropbear доступен одновременно с обычным вводом с клавиатуры ).И просто упомяну об этом, если вам интересно, вероятно, самый безопасный метод, требующий сложной инфраструктуры, обычно для поддержки фермы зашифрованных серверов, развернутых в ненадежном центре обработки данных:Клевис , обычно используемый вместе с Tang , которые были разработаны в Redhat (, где доступна дополнительная документация:RHEL7 , RHEL8). Оба упакованы в Debian, но интеграция, вероятно, очень сложна. Он основан на таких функциях, как Обмен секретами Шамира , где секрет распределяется по нескольким местам, и других подобных функциях, чтобы сохранить секрет... секрет. Он нацелен на автоматическую удаленную расшифровку для LUKS, но при этом более устойчив к угрозам безопасности.
Насчет последнего вопроса :у вас должна быть возможность выбирать размер, но вы должны настраивать все вручную без вспомогательного режима. Есть также некоторые недостатки в программе установки Debian :после того, как шаг разбиения сделан с помощью LUKS и LVM, трудно передумать и изменить его (, а затем часто быстрее начать установку заново ). У вас может быть больше доступных вариантов, если вы решите изменить приоритет вопросов, задаваемых в меню.