Eu tenho um ambiente do CentOS 6.5 que inicializa servidores usando o Kickstart. Um dos requisitos do nosso Kickstart é que as partições sejam criptografadas. Como o Anaconda só pode usar senhas de texto simples para as partições criptografadas do LUKS, qual é a melhor maneira de proteger os arquivos de configuração do Kickstart? No momento, estamos atendendo a eles por HTTP e em breve HTTPS.
Se você não especificar um "--passphrase" na configuração do kickstart do RHEL 6, o anaconda solicitará uma senha no momento da instalação. Isso ajudaria você a evitar o armazenamento de senhas do LUKS em seus arquivos de configuração do kickstart.
Isso não parece funcionar com o RHEL 7; em vez disso, a instalação falha completamente.
Talvez gerá-los no sistema e armazená-los no sistema instalado, para serem recuperados do servidor (através de uma chave_autorizada instalada)? Você só precisa evitar a reinicialização antes que a chave seja recuperada.