Debian 5.0.5에는 상당히 표준적인 디스크 암호화 설정이 있습니다. 암호화되지 않은 /boot
파티션과 sdaX_crypt
다른 모든 파티션을 포함하는 암호화된 파티션입니다.
이제 이것은 헤드리스 서버 설치이며 키보드 없이 시작할 수 있기를 원합니다(현재는 키보드와 모니터가 연결된 경우에만 시작할 수 있습니다).
지금까지는 파티션을 USB 드라이브로 옮기고 키를 자동으로 입력하도록 약간 수정하는 아이디어가 있습니다(그냥 시작 스크립트 어딘가에 호출된 것 같습니다 /boot
). askpass
이렇게 하면 헤드리스로 부팅할 수 있으며 부팅 시 플래시 드라이브를 연결하기만 하면 됩니다.
내 생각에 그 문제는 다음과 같다.
- 제대로 작동하려면 모든 세부 사항을 파악하는 데 시간을 투자해야 하고,
- 업데이트가 있고 재생성이 필요한 경우
initrd
USB의 부팅 파티션을 재생성해야 하는데 이는 지루해 보입니다.
질문: 내가 원하는 작업에 대한 유지 관리가 적은 표준 솔루션이 있습니까? 아니면 완전히 다른 곳을 살펴봐야 합니까?
답변1
비밀번호 대신 키를 요구하도록 시스템을 설정하고 일부 스크립트를 변경하여 USB 스틱에서 이 키를 검색할 수 있습니다. 내가 하나 찾았어상해Debian Lenny에서의 프로세스입니다. 마지막에는 새 버전의 데비안에 필요한 변경 사항을 설명하는 몇 가지 설명이 있습니다.
답변2
하지만 키를 일반 텍스트로 유지하려는 경우 전체 디스크 암호화를 사용하는 것이 무슨 의미가 있습니까?
이를 달성하려면 신뢰할 수 있는 컴퓨팅 플랫폼과 같은 것이 필요하며 Microsoft와 대형 미디어는 사악한 사용자 억제 목적으로 이를 탈취했습니다.
아이디어는 칩이 마더보드의 키를 보유하고 실행 중인 소프트웨어가 신뢰할 수 있는 기관(귀하)에 의해 적절하게 서명되었는지 확인할 때만 키를 제공하는 것입니다. 이렇게 하면 키가 눈에 띄지 않으며 대화형으로 서버를 시작할 필요가 없습니다.
슬프게도 저는 신뢰할 수 있는 컴퓨팅이 적용된 것을 본 적이 없습니다.굉장히 유용하다, 실제로는최종 사용자에게 유용함.
답변3
만도스(나와 다른 사람들이 작성) 문제를 해결했습니다.
Mandos는 암호화된 루트 파일 시스템을 갖춘 서버를 무인 및/또는 원격으로 재부팅할 수 있는 시스템입니다. 바라보다매뉴얼 페이지 소개FAQ 목록을 포함하여 자세히 알아보세요.
즉, 안전한 방법으로 네트워크를 통해 비밀번호를 얻으려면 서버를 시작하십시오. 자세한 내용은 추가 정보 파일을 참조하세요.