Возможно ли шифрование диска без запроса пароля при загрузке?
Идея этого ответа проста. Также обратите внимание на пространство имен пользователей, а не только на пространство имен системы, когда дело доходит до устранения неполадок syslog. Заслуга напоминания мне об этом полностью @JdeBP.
Следуя его предложению, я использовал флаг --user, чтобы снять -маскировку сервисного модуля для вызывающего пользователя, вместо того, чтобы вызывать сервис-менеджер системы.
$ pacman -Ss tracker-miners
extra/tracker-miners 2.2.2-1 (gnome) [installed]
Collection of data extractors for Tracker/Nepomuk
подтверждает (, если необходимо ), что tracker-minersустановлено.
$ systemctl --user unmask tracker-extract.service
Removed /home/<USER>/.config/systemd/user/tracker-extract.service
$ systemctl --user list-unit-files tracker-extract.service
UNIT FILE STATE
tracker-extract.service static
1 unit files listed.
привело к тому, что dbus-daemonслужба tracker-extractне была помечена как «замаскированная». Сразу после этого спам моего syslogпрекратился.
Чтобы привязать диск к заданному хосту и разрешить его расшифровку, не требуя ввода парольной фразы -вручную, вы обычно полагаетесь на сохранение или привязку ключа шифрования к доверенной платформе TPM (хоста. модуль )или аналогичный. При такой настройке диск не может быть расшифрован, если он удален с хоста.
Другим возможным решением, если сеть является доверенной, является привязка ключа шифрования к сети (, строго говоря, к некоторому серверу ключей в сети ). При такой настройке диск не может быть расшифрован, если его хост не находится в нужной сети.
Оба они поддерживаются Clevis . Clevis может использовать TPM2 или Tang для привязки ключей и даже может комбинировать несколько источников ключей, используя совместное использование секрета Shamir. В обоих случаях конфиденциальность обеспечивается за счет использования недоступного ключа в какой-то момент процесса. :ключи, хранящиеся в TPM, не могут быть извлечены из него, равно как и ключи, хранящиеся на узле в другом месте в сети.
Существуют и другие инструменты, например TPM -LUKS .
Сохраните ключ шифрования на флэш-накопителе USB.
Это не так безопасно, как решение TPM, потому что ключ представляет собой просто двоичный файл в стандартной файловой системе, но если ваша цель — просто сделать диски одноразовыми отдельно от остального компьютера, этого достаточно.
К сожалению, вы не можете использовать третий столбец в /etc/crypttab, потому что флэш-диск должен быть уже смонтирован, а он не может, потому что ваш fstabнаходится на зашифрованном разделе -, создавая курицу и яйцо проблема. Но вы должны иметь возможность использовать ключевой скрипт (см.man crypttab)или хуки initramfs .
Обратите внимание, что независимо от того, какой подход вы выберете, первый этап процесса загрузки (ядро+initramfs )должен оставаться незашифрованным. Обычно это не проблема, если только вы не используете супер -секретные патчи ядра(ekhm GPL ekhm ;))или сохраняя что-то конфиденциальное в файле initramfs. Так что не храните ключ шифрования непосредственно в ключевом скрипте или хуках,потому что они встроены в initramfs.
Отделить ОС от ДИСКА. Загрузите ОС в ОЗУ из сети. Вам пришлют ОС с ключом для ДИСКА. Когда компьютер включен, он ищет ОС по сети (PXE ). Если кто-то выключит компьютер, у него не будет ОС и вы узнаете, что компьютер был взломан.
https://superuser.com/questions/484849/is-it-possible-to-boot-from-internet
Существует возможность иметь dropbear (минималистичный SSH-сервер )в initramfs -и загрузку в режиме с поддержкой dropbear -, который ждет, пока вы подключитесь к нему по SSH и предоставите ключ шифрования.
Проверьте этот пример сообщения в блоге .