Como posso permitir a descriptografia autônoma do disco criptografado no RHEL6?

Navegue suas respostas
1

Eu preciso configurar o disco criptografado no RHEL6, mas a chave deve ser armazenada no servidor de rede / banco de dados, o disco criptografado deve ser decifrado durante a inicialização ou após a inicialização usando essa chave e sem perguntar nenhuma frase secreta.

    
por user3912750 06.08.2014 / 08:31

3 respostas

1

Você pode configurar isso usando um script crypttab, exemplo de entrada crypttab: 

# target,sourcedev,keyfile,options
cdisk3 /dev/sda3 none cipher=twofish,hash=ripemd160,size=256,keyscript=/path/to/script

O script será executado com keyfile (neste caso, "none") como o único argumento, e a saída do script será usada como a chave.

Ele obtém o restante da entrada como variáveis de ambiente: 

       CRYPTTAB_NAME
           The target name

       CRYPTTAB_SOURCE
           The source device

       CRYPTTAB_KEY
           The key file

       CRYPTTAB_OPTIONS
           A list of exported crypttab options

       CRYPTTAB_OPTION_<option>
           The value of the appropriate crypttab option, with value set to 'yes'
           in case the option is merely a flag.

Eu obtive a maior parte do Manual da página crypttab (5), é melhor escrito do que o que eu posso fornecer.

Naturalmente, uma configuração como essa será difícil de garantir e depende muito do que você coloca no script.

    
por 06.08.2014 / 10:42
0

IMHO você só pode fazer isso para discos não-inicialização e não-raiz. Para acessar um serviço de rede para obter as credenciais, o Linux teria que:

  1. Inicialize o sistema
  2. Configurar uma montagem remota
  3. Recupere os creds
  4. Monte o disco

Você pode escrever um script de shell para ele e garantir que ele seja iniciado no momento da inicialização. Tenha em mente que você teria que armazenar as credenciais do compartilhamento de rede / banco de dados no sistema do cliente, o que acaba com o propósito:)

    
por 06.08.2014 / 10:17
0

Já existe uma ferramenta para fazer praticamente o que você quer, pelo menos presumindo que você não esteja inicializando a partir de um volume tão criptografado (a inicialização autônoma de um volume criptografado vem com seu próprio conjunto de problemas e, enquanto isso, Há indicações claras de que é possível usar isso, eu não acho que eu gostaria de tentar em uma primeira tentativa, pelo menos). Chama-se Mandos .

Basicamente, o que ele faz é armazenar a chave em um sistema separado (o servidor Mandos) e permite que o cliente a consulte de maneira segura. Depois que o cliente tiver a chave, essa chave poderá ser usada para desbloquear um contêiner LUKS.

Você teria, é claro, que proteger o servidor Mandos adequadamente, mas isso é um problema com qualquer armazenamento de chaves, e certamente não é exclusivo do Mandos.

Existe um diagrama de como funciona no site.

    
por 06.08.2014 / 10:25

Tags

Como forçar a saída de um aplicativo quando o próprio Gerenciador de Tarefas não responde? Tentando somar uma coluna de valores entre datas ajustáveis