У меня есть среда CentOS 6.5, которая загружает серверы с помощью Kickstart. Одно из требований нашего Kickstart - зашифрованные разделы. Поскольку Anaconda может принимать пароли только в виде обычного текста для зашифрованных разделов LUKS, как лучше всего защитить файлы конфигурации Kickstart? В настоящее время мы обслуживаем их по протоколу HTTP и скоро будет HTTPS.
Мы выполняем кикстарт с фиктивным паролем, а затем меняем его после установки.
Может быть, сгенерировать их в системе и сохранить в установленной системе, чтобы их можно было получить с сервера (через установленный authorized_key)? Вам просто нужно избежать перезагрузки до получения ключа.
Если вы не укажете «--passphrase» в своей конфигурации кикстарта RHEL 6, anaconda запросит пароль во время установки. Это поможет вам полностью избежать хранения парольных фраз LUKS в файлах конфигурации кикстарта.
Похоже, это не работает с RHEL 7; вместо этого установка полностью не выполняется.