Я настраиваю удаленный сервер в одном месте для клиента, и их основной запрос заключается в том, чтобы данные были зашифрованы за пределами загрузочного раздела. Основная система будет находиться в контейнере dm-crypt LUKS на главном диске, но поскольку ядро может быть злонамеренно заменено в случае очистки загрузочного раздела для захвата ключа, ему также потребуется защита.
Чтобы решить эту проблему, единственный вариант, о котором я могу думать, - это накопитель со встроенным аппаратным шифрованием и удаленная разблокировка его через интерфейс IPMI. Проблема заключается в том, что бюджет ежемесячных затрат уже утвержден для одного IP-адреса, а это означает, что нет способа легко подключиться к интерфейсу IPMI без дорогостоящей поездки для физического доступа или даже более дорогостоящего сеанса с менеджером проекта для увеличить бюджет на несколько баксов.
Я надеюсь найти решение для накопителя, которое включает в себя прошивку, с которой можно загружаться, подключаться через SSH или HTTPS, разблокировать зашифрованные данные и загружать загрузчик по цепочке, который будет включать ядро, которое загружает основной массив LUKS в качестве корневого. раздел. Интерфейс может быть USB или SATA, или даже PCI-E.
Я открыт для других предложений, так как это единственный подходящий вариант, который я могу придумать самостоятельно; Я просто не могу найти никаких похожих решений или термина для поиска.
Я думаю, что у Майкла есть правильный ответ. Я полностью понимаю, откуда вы, но это не ваша работа предполагать глупость клиента - у большинства клиентов есть собственный запас. Порекомендуйте правильную вещь и позвольте им отклонить ее из соображений цены. Ведите бумажный след.
Затем, если они настаивают на варианте с нулевой стоимостью, вы можете рассмотреть возможность использования tripwire из этого защищенного раздела для проверки целостности системы немедленно после того, как раздел был разблокирован. Вы можете быть уверены в tripwire двоичные файлы и файл подписи, так как они находятся в зашифрованном разделе. С их помощью вы можете быть уверены в содержимом незашифрованного раздела, а также ядра и библиотек на нем.
Это не идеально, но намного безопаснее, чем отсутствие проверок незашифрованного раздела; и вы предложите им шанс добиться большего, и вас отвергнут, если что-то когда-нибудь пойдет не так.