Como montar a partição LUKS com segurança no servidor

Sim, é possível - você pode armazenar a chave em um diretório pessoal criptografado ou no volume do sistema criptografado por LVM, por exemplo. No entanto, ambos exigem que você descriptografe a partição em que a chave está armazenada em algum momento - se você estiver procurando uma montagem segura de um dispositivo criptografado na inicialização, isso é muito mais um desafio . Veja esta questão para uma discussão .

Usamos muito as unidades do sistema LVM criptografado, e embora seja um pouco trabalhoso ter que inserir a senha no momento da inicialização, isso significa que podemos proteger razoavelmente o disco (e quaisquer outros dispositivos, partições ou volumes criptografados que quer montar) em caso de perda física ou roubo. No entanto, não ajuda a proteger um sistema executando .

Como em sua casa ou carro, a única maneira de manter seus dados seguros é não deixar suas chaves por aí ... Isso impede a inicialização automática, a menos que você faça algo como proteger seriamente um servidor de chaves, digamos construindo-o em uma parede ou despejando-o na fundação? : -)

Eu, pessoalmente, fiz duas coisas diferentes nesta situação. Uma de minhas máquinas tem uma placa KVM remota, portanto, quando ela inicializa, posso fazer o login via KVM e inserir a senha de criptografia. Outro eu tenho uma partição raiz não criptografada, em seguida, armazenar os dados importantes de segurança em outra partição que eu tenho que ssh em e descriptografar / montar. Estou principalmente preocupado com alguém invadindo e roubando a caixa e depois obtendo acesso a todos esses dados privados.