Мне любопытно, можно ли безопасно и автоматически смонтировать раздел, зашифрованный cryptsetup, с LUKS в Ubuntu 10.0.4 LTS.
Например, если я использую ключ для зашифрованного раздела, то этот ключ должен быть представлен на незашифрованном устройстве, и если кто-то украдет мой диск, он сможет найти ключ и расшифровать раздел.
Есть ли безопасный способ смонтировать зашифрованный раздел? Если нет, то есть ли что-нибудь, чтобы делать то, что я хочу?
Как и в случае с вашим домом или автомобилем, единственный способ сохранить ваши данные в безопасности - это не оставлять ключи поблизости ... Такой вид исключает автоматическую загрузку, если только вам не нужно делать что-то вроде серьезной защиты сервера ключей, скажем, путем его создания. в стену или заливку в фундамент? :-)
Я лично поступил в этой ситуации двумя разными вещами. На одной из моих машин есть удаленная KVM-карта, поэтому при загрузке я могу войти через KVM и ввести криптопароль. Еще у меня есть незашифрованный корневой раздел, а важные для безопасности данные хранятся в другом разделе, который мне нужно использовать ssh и расшифровать / смонтировать. Меня больше всего беспокоит, что кто-то взломает и украдет ящик, а затем получит доступ ко всем этим личным данным.
Да, это возможно - вы можете сохранить ключ в зашифрованном домашнем каталоге или, например, на системном томе, зашифрованном LVM. Однако оба из них требуют, чтобы вы в какой-то момент расшифровали раздел, в котором хранится ключ - если вы ищете без присмотра безопасное монтирование зашифрованного устройства при загрузке, это гораздо сложнее. Посмотреть этот вопрос для обсуждения.
Мы часто используем зашифрованные системные диски LVM, и хотя вводить пароль во время загрузки немного затруднительно, это означает, что мы можем разумно защитить диск (и любые другие зашифрованные устройства, разделы или тома, которые мы хотим смонтировать. ) в случае физической потери или кражи. Не помогает защитить Бег система, правда.