使用全磁盘加密的服务器

Question

我安装了一个服务器，带有zentyal3.0.2(基于ubuntu12.04.2)和全磁盘加密。

当我成功地发送WOL数据包并打开服务器时，由于服务器磁盘是加密的，所以启动过程没有完成，在继续之前，我需要输入有效的密码短语。

是否有可用于发送密码短语的应用程序？

当我们需要远程管理服务器时，wol是非常有用的。

Answer 1

要解密引导卷，您必须使用某种熄灯管理或智能平台管理接口(IPMI)。这将为您在服务器上提供一个远程控制台，这样您就可以输入密码。这方面的常见例子是HP服务器上的劳工组织或戴尔服务器上的DRAC。

如果您正在发送WOL数据包，我真的怀疑打开管理控制台输入密码是否会增加很多额外的开销。尽管如此，这是一个重新审视为什么您要这么做的机会：

• 你为什么要关闭服务器？服务器被设计成始终保持工作状态，如果您有电源限制或类似的功能，您应该探索一些节能选项，让您可以让服务器继续运行。
• 为什么启动卷是加密的？磁盘上的加密只有当你相信整个服务器会被物理窃取并且有人会试图窃取数据时才会有真正的帮助。你的数据值得偷吗？如果有人偷了它会怎么样？你不应该把你的服务器存储在一个在锁和钥匙下受到物理保护的地方吗？
• 即使您的磁盘是加密的，它也必须在系统运行时保持解密。这意味着，如果您被黑客攻击，您的磁盘上加密是毫无价值的，因为攻击者刚刚从运行系统中窃取了您未加密的数据。

请想一想你为什么要解决这个问题，以及它的商业用途。

Answer 2

由于您需要在系统启动和网络启动之前提供pass短语，您将需要另一台具有控制启动服务器的能力的服务器。

断电管理功能/ BMCs提供了完全正确的功能，内置于大多数现代/体面的服务器机器中，只需要配置(通常您可以通过BIOS设置更改基本设置，如IP地址、网络端口和控制台重定向)。

即使基本许可证通常不允许完全的图形控制台访问(HP iLO、Dell DRAC)，您也可以设置串行端口重定向--即BMC将提供网络套接字将输入/输出重定向到/从串口控制器。将引导加载程序和Linux内核设置为使用此串行端口作为控制台将为您提供读取控制台输出和通过BMC设置的网络套接字提供控制台输入的能力。

如果您的系统没有BMC，则仍然有多种选择：

• 提供类似BMC功能的加载卡(远程管理卡/远程访问卡)。
• KVM-over IP交换机或KVM扩展程序，它是一个外部盒，连接到服务器的VGA/键盘/USB端口，如这一个
• 支持按照RFC2217的串行端口重定向的串行服务器或设备-例如，与上面描述的串行控制台设置相结合的Mikrotik路由器。