无人值守启动加密袭击？

Question

就在最近，为了我的家乡NAS，我走进了Ubuntu。我正在使用它作为媒体服务器，以及我的主要文档存储库为我的其他个人电脑。

我想使用某种类型的磁盘加密和RAID 1(我有一个用于操作系统的SSD和用于数据的2个4TB驱动器)。如果我只对RAID进行加密，并且仍然有无人值守的安装，那么有什么方法可以保证加密密钥的安全？

我想我可以加密操作系统驱动器，但我会失去任何无人值守的引导。我只希望无人值守的启动，以防我需要重新启动，而我不在家。

Answer 1

如果您使用Ubuntu内置的全磁盘加密来加密OS驱动器，则需要在引导期间从本地控制台输入加密密钥。

似乎有一些方法可以保存加密分区的加密密钥，以便只有root才能访问(如果合适的话)。如果其他人有根访问权限，那么您有一个更大的问题。将密钥保存到的分区应该被加密，并且可能必须手动解密。

您也可以手动挂载加密的分区，并放弃保存密钥文件。

我已经从这个链接复制了以下步骤：

https://www.howtoforge.com/automatically-unlock-luks-encrypted-drives-with-a-keyfile

原作者斯蒂芬焦乌的功劳

步骤1:创建随机密钥文件

sudo dd if=/dev/urandom of=/root/keyfile bs=1024 count=4

这将创建一个大小为4096位的随机内容文件(比20/30字符密码.)。您可以使用任何文件作为密钥文件，但我认为4kb文件的随机内容是很适合的。

步骤2:使密钥文件仅读到根

sudo chmod 0400 /root/keyfile

这将使密钥文件只能由根用户读取。如果有人访问了这个密钥文件，那么您的计算机上有一个更大的问题。

或者，将所需的密钥文件发送到root:root，并将其移动到/root文件夹中。

步骤3:将密钥文件添加到LUKS

启用LUKS/dm_crypt的设备最多可以保存10个不同的密钥文件/密码。因此，除了已经设置的密码之外，我们还将添加这个密钥文件作为附加的授权方法。

sudo cryptsetup luksAddKey /dev/sdX /root/keyfile

sdX当然是你的LUKS设备。

首先，您将被提示输入一个(现有的)密码来解锁驱动器。如果一切正常，您应该得到如下输出：

Enter any LUKS passphrase:  
key slot 0 unlocked.  
Command successful.

步骤4:创建映射器

LUKS设备需要创建一个映射器，然后可以在fstab中引用该映射器。开放/etc/密码b

sudo nano /etc/crypttab

然后加上这样的一行：

sdX_crypt      /dev/sdX  /root/keyfile  luks

也可以使用设备的UUID：

sdX_crypt      /dev/disk/by-uuid/247ad289-dbe5-4419-9965-e3cd30f0b080  /root/keyfile  luks

sdX_crypt是正在创建的映射器的名称。您可以在这里使用任何名称，例如“音乐”、“电影”或"sfdsfawe“。

通过发出ctrl命令保存并关闭文件，输入，输入。Ctrl关闭nano，但它首先要求保存文件是=输入和名称应该是同名=输入。

我们在那里所做的实际上是告诉我们，应该使用/root/keyfile来解锁驱动器，而不是使用密码输入。

步骤5:在fstab

中挂载设备

现在，我们有一个未锁定的设备(现在还没有，但是当系统启动时)，我们现在只需要挂载它。打开/etc/fstab：

sudo nano /etc/fstab

并添加一个新条目，如：

/dev/mapper/sdX_crypt  /media/sdX     ext3    defaults        0       2

确保您在步骤4中添加了正确的映射程序名称，并确保挂载点/文件夹存在。添加后，再次保存文件并关闭它(ctrl，输入，输入)。

步骤6:重新启动或重新装入

就这样。现在，您可以重新启动和附加设备应该是自动解锁和挂载。您还可以通过重新安装所有设备来测试它：

sudo mount -a