Sua abordagem parece boa. Algumas observações embora:
-
Se você deseja criptografar o rootfs, você precisará usar o initrd (para ter um sistema mínimo não criptografado que processará as partições criptografadas).
Se o dispositivo USB for removível, tanto o initrd quanto o kernel podem ser armazenados no USB para aumentar a resistência a adulterações (supondo que você tenha certeza de que o USB não entrará em mãos não-autorizadas) - que geralmente criptografa rootfs. Quando o kernel e o initrd estiverem em uma mídia removível, você pode garantir que ninguém altere o kernel (ou initrd) do sistema em execução simplesmente removendo a mídia.
Isto obviamente não é uma opção se você quiser tê-lo dentro de um servidor, mas, novamente, a questão é se faz sentido ter tal dispositivo e não usar uma pequena partição em um disco rígido. -drives. Se, por exemplo, todas as unidades da máquina estiverem em RAID, provavelmente também se deseje colocar rootfs no USB. Uma alternativa interessante para um dispositivo flash USB conectado internamente pode ser um cartão CompactFlash conectado à interface ATA através de um adaptador, por sinal.
Algumas distribuições oferecem soluções preparadas para a raiz criptografada, outras não - mas principalmente é questão de colocar algumas linhas no script initrd antes de tentar montar a raiz "real" (veja por exemplo man pages para
pivot_root
, geralmente nas seções 2 (syscall) e 8 (bonary), se você não estiver familiarizado com o processo). -
lembre-se de fazer o backup das chaves e senhas caso a sua unidade USB morra. O LUKS segue uma abordagem unilateral quando se trata de danificar seu cabeçalho - uma vez que um único setor de seu cabeçalho (slot-chave, para ser mais preciso) morre, você é incapaz de montá-lo. Isso é para garantir que o apagamento do cabeçalho não seja efetivamente afetado pela realocação de bloco executada pelo próprio dispositivo (porque é isso que os dispositivos baseados em memória flash fazem muito) - a chave é distribuída por todo o slot da chave e é necessário os dados para reconstruí-lo - não há redundância. Veja o site do Clemens Fruwirth para uma discussão mais profunda.
Dito isto, talvez um dispositivo criptografado simples no USB seja suficiente (verifique a seção
PLAIN MODE
inman cryptsetup
). Ou um arquivo criptografado com, e. %código%. O primeiro pode ser uma opção, mesmo para as próprias partições criptografadas.