설치 프로그램의 전체 디스크 암호화 옵션을 사용하여 이전 컴퓨터(i386)에 데비안 10을 설치했습니다.
실행하면 화면에 암호 해독 비밀번호를 입력할 때까지 아무 것도 실행되지 않습니다.
따라서 부팅 후 머신에 SSH를 통해 연결할 수 없으며 물리적 액세스가 필요합니다.
이제 몇 가지 질문이 있습니다.
1) 시작 후 암호화된 비밀번호 요청을 비활성화할 수 있습니까?
2) 한 번의 작업으로 사용자 로그인과 디스크 암호 해독을 일종의 "병합"해야 하지만(이상한 생각입니다 :-) 여기서 제가 선택할 수 있는 유일한 옵션은 표준 설치와 나중에 기본 파티션을 암호화하는 것뿐입니다. 그렇죠?
2) 설치 프로그램의 전체 디스크 암호화 옵션을 사용하여 파티션 크기를 수동으로 설정할 수 없는 이유는 무엇입니까? (나중에 우분투 버전에서도 이것을 관찰했습니다)
당신의 생각에 감사드립니다!
답변1
이 한계를 극복하는 방법에는 여러 가지가 있습니다. 여기에 세 가지가 있습니다(세 번째는 마스터하고 통합하기가 정말 어렵습니다).
LUKS 마스터 키를 디코딩하는 데 사용되는 비밀번호가 포함된 장치(예: USB 키)가 있어야 합니다. 그러면 데비안은 에 설명된 대로 키 스크립트를 통해 부팅 시 자동으로 이 키를 사용하여
passdev에 추가 할 수 있습니다./etc/crypttab/usr/share/doc/cryptsetup-run/README.Debian.gz. USB 키를 물리적으로 도난당하면 비밀번호와 암호화가 손상됩니다. 현재 설치에 추가할 수 있습니다.원격 잠금 해제 사용드롭 베어, 문서가 포함되어 있습니다.
/usr/share/doc/dropbear-initramfs/README.initramfs: LUKS 마스터 키 잠금을 해제하기 위해 부팅 단계에서 SSH를 통해 시스템에 연결할 수 있습니다. 서버가 물리적으로 훼손되고 서버의 시작이 변경되면 원격으로 입력된 비밀번호와 암호화가 손상될 수 있습니다. 현재 설치에 추가할 수 있습니다. 약간만 조정하면 이전 방법과 이 방법을 동시에 사용할 수도 있습니다(보통 dropbear는 일반적인 키보드 입력과 동시에 사용할 수 있습니다).그건 그렇고, 관심이 있다면 이것이 아마도 가장 안전한 접근 방식일 것이며 일반적으로 신뢰할 수 없는 데이터 센터에 배포된 암호화된 서버 팜을 지원하기 위해 복잡한 인프라가 필요합니다.U자형 클립, 일반적으로당나라, Redhat에서 개발되었습니다(더 많은 문서를 사용할 수 있는 경우:RHEL7,RHEL8). 둘 다예 포장된Debian에서는 통합이 복잡할 수 있습니다. 이는 다음 기능을 기반으로 합니다.샤미르의 비밀 공유, 비밀이 여러 위치에 분산되어 있으며 기타 유사한 기능을 통해 비밀을 유지합니다. 그 목표는 보안 손상에 대한 저항력을 강화하면서 원격으로 LUKS를 자동으로 해독하는 것입니다.
마지막 질문에 관해: 크기를 선택할 수 있어야 하지만 보조 모드 없이 수동으로 설정해야 합니다. 데비안 설치 프로그램에는 몇 가지 단점도 있습니다. LUKS와 LVM을 사용하여 파티셔닝 단계를 완료한 후에는 마음을 바꾸고 변경하기가 어렵습니다(그리고 일반적으로 설치를 다시 시작하는 것이 더 빠릅니다). 메뉴에서 묻는 질문의 우선순위를 변경하도록 선택하면 더 많은 옵션을 사용할 수 있습니다.
답변2
추측: 1) 부팅 시 비밀번호 요청을 비활성화할 수 없습니다. <- 디스크가 암호화되어 있으며 OS는 이를 해독하지 않고는 진행할 수 없습니다. 시스템이 실행 중이고 저장된 자격 증명을 삽입하여 원하는 사용자에게 자동으로 로그인할 수 있는 기회를 제공하는 KDE 또는 GNOME에 들어갈 때 비밀번호 요청을 비활성화하는 것과는 다릅니다.
2) 운영 체제가 완전히 부팅되면 사용자 로그인이 시작됩니다! 사용자 데이터(/home 디렉터리에 있음)만 보호하는 것이 좋습니다.
다음 2) 전체 디스크 암호화를 요청하시면 디스크 전체가 암호화됩니다. 암호화된 디스크에 파티션이 생성되므로 암호화하기 전에 파티션 크기를 설정할 이유가 없습니다.