Eu tenho uma configuração de criptografia de disco bastante padrão no Debian 5.0.5: partição /boot não criptografada e sdaX_crypt criptografada que contém todas as outras partições.
Agora, esta é uma instalação de servidor sem cabeçalho e eu quero ser capaz de inicializá-lo sem um teclado (agora posso inicializá-lo apenas com um teclado e um monitor conectado).
Até agora, tenho uma ideia de mover a partição /boot para uma unidade USB e fazer pequenas modificações para inserir automaticamente a chave (acho que há apenas uma chamada para askpass no script de inicialização em algum lugar). Dessa forma, posso inicializar sem cabeça, só preciso ter uma unidade flash no momento da inicialização.
Pelo que vejo, o problema é que
initrd , preciso regenerar a partição de inicialização no USB, o que parece entediante. A pergunta: existe uma solução padrão de baixo custo disponível para o que eu quero fazer? Ou eu deveria estar procurando outro lugar completamente?
Você pode configurar seu sistema para exigir uma chave em vez de uma senha e alterar alguns scripts para procurar essa chave em um dispositivo USB. Eu encontrei uma explicação detalhada para este processo no Debian Lenny. Existem algumas notas no final que descrevem as mudanças necessárias para versões mais novas do Debian.
Mas então, qual é o sentido de ter a criptografia completa do disco, se você está apenas deixando as chaves em um texto simples?
Para que isso funcione, você precisaria de algo parecido com o que a Plataforma de Computação Confiável deveria ser antes de a Microsoft e o Big Media sequestrá-la para seus próprios fins malignos de subjugação de usuários.
A idéia é ter um chip contendo as chaves na placa-mãe e tê-las entregues apenas quando for verificado que o software em execução foi devidamente assinado por uma autoridade confiável (você). Dessa forma, você não deixa as teclas à vista e não precisa inicializar o servidor interativamente.
É uma pena que eu nunca vi a Computação Confiável colocar em qualquer bom uso , o que poderia realmente ser útil para o usuário final .
Mandos (que eu e outros escrevemos) resolve este problema:
Mandos is a system for allowing servers with encrypted root file systems to reboot unattended and/or remotely. See the intro manual page for more information, including an FAQ list.
Em suma, o servidor de inicialização obtém a senha pela rede, de maneira segura. Veja o README para detalhes.
Tags encryption debian linux