Eu gostaria de ter um diretório eCryptfs "com segurança" montado automaticamente na inicialização sem efetuar login. Meu cenário é o seguinte: Eu tenho um servidor ArchLinux embutido (baseado em ARM) que usa um cartão microSD removível para armazenamento persistente e o sistema de arquivos.
Eu gostaria de ter um diretório criptografado no cartão microSD para que, se alguém retirar o cartão microSD e tentar copiá-lo, eles não possam acessar os arquivos no diretório criptografado.
Meu pensamento foi este:
Use dmidecode
para obter o ID e a "impressão digital de hardware" de um servidor e use um hash da dmidecode
como senha para criptografar o diretório.
Então, o que eu quero fazer é, na inicialização, ter dmidecode
extrair as informações, usar o hash e usar o eCryptfs para usar o hash como senha.
Portanto, a frase secreta não é armazenada em lugar algum, é puxada na inicialização e usada para desbloqueá-la. A fraqueza óbvia é que alguém olhando para a seqüência de inicialização pode ver como ela funciona e, em seguida, obter a senha, tendo acesso físico ao servidor. Uma vez que é específico para o servidor (assumindo um número de série único para o processador), eles não poderiam obter um hardware de servidor incorporado similar, eles precisariam de um vinculado ao cartão microSD específico.
Principalmente, isso serve para impedir que alguém roube o cartão microSD (mas não o servidor incorporado) e copie-o.Eu acho que minha pergunta de fundo é: como eu adicionaria isso à seqüência de inicialização? Estou usando o Arch Linux v3 em hardware baseado em ARM.
Tags encryption ecryptfs arm linux arch-linux