Insere remotamente a chave de criptografia?

Uma opção possível seria refazer para que o sistema base ( / /usr /etc /lib e tal ... as coisas que são as mesmas em todos os sistemas Linux) não sejam criptografados, com seus dados reais para proteger em um LV separado que é criptografado. Em seguida, o sistema deve ser capaz de inicializar em um estado em que você possa efetuar login remotamente e montar a partição criptografada e fornecer a senha nesse momento.

Esta é a opção que eu tomo com meus servidores de banco de dados, com uma partição encryptd para apenas o banco de dados, que está configurado para não iniciar na inicialização, para que eu possa efetuar login e montar a partição e iniciar o banco de dados.

Se os seus servidores suportarem o IPMI 2.0 SOL (Serial-over-LAN), você poderá usar o ipmiconsole ou um utilitário similar para obter um console serial em sua máquina. Uma vez que você tenha trabalhado, não é um grande passo para enviar a entrada do teclado para a porta serial virtual. Seu sistema operacional pode exigir algumas configurações adicionais para usar o console serial.

Quanto a saber se é uma boa ideia, bem, não há resposta completa para isso. Depende do que você está tentando proteger e do que você está tentando realizar ao fazer isso. Em quase todos os casos que vi, a criptografia de disco completo de um servidor é um exagero total, pois não protege você contra uma única coisa além de uma invasão física. A maioria das intrusões / hacks, por razões óbvias, ocorre contra servidores que estão ligados, não aqueles que estão desligados.

Talvez você queira usar um token USB para essa finalidade? Claro, isso mudaria a segurança da rede para a física. Tenho certeza de que você sabe que não pode alcançar total segurança, mas precisa comprometer.

Um conselho: os hábitos levam a baixar a guarda, o que leva a ser mais propenso a escorregar e a pequenos erros, o que leva ao lado sombrio e, eventualmente, a confiar em uma falsa sensação de segurança.

Eu recomendo strongmente não confiar em uma grande segurança para tudo, mas sim em pequenos plugins modulares que podem lhe dar um controle mais refinado. Por exemplo: o LVM criptografado está ok, mas use um token USB como chave para inicializar o sistema. Então monte apenas as partições que você realmente precisa (e as tenha criptografado com chaves diferentes), talvez até mesmo inserindo as chaves remotamente ou (melhor!) Faça um leitor de cartão usar algo que você carrega o tempo todo para autenticá-lo e evitar ataques. Confie em bons patches e em sistemas de segurança redundantes mais do que em um único firewall ou em uma única 'solução' (ou seja, instale dois firewalls redundantes em máquinas diferentes e mantenha um invisível fazendo pontes transparentes). Mantenha um sistema offline e compare a soma de verificação em intervalos aleatórios (dias, semanas, horas, etc.). E assim por diante.

Se você quer segurança rápida e suja, esqueça a parte de 'segurança'.

Isso pode não ter sido possível quando a pergunta foi originalmente feita, mas agora é possível configurar seu initrd para permitir que você digite a senha via ssh.

Baseado neste guia para o Ubuntu - link - Eu consegui configurar vários dos meus servidores Debian para me permitir desbloqueá-los remotamente.