我希望在启动时无需登录即可“安全地”自动安装 eCryptfs 目录。我的情况是这样的:我有一个嵌入式 ArchLinux 服务器(基于 ARM),它使用可移动 microSD 卡进行持久存储和文件系统。
我希望 microSD 卡上有一个加密目录,这样如果有人弹出 microSD 卡并尝试复制它,他们就无法访问加密目录中的文件。
我的想法是这样的:
用于dmidecode
获取服务器的 ID 和“硬件指纹”,并使用dmidecode
输出的哈希值作为密码来加密目录。
所以我想要做的是,在启动时提取dmidecode
信息,对其进行哈希处理,然后使用 eCryptfs 以哈希值作为密码进行自动挂载。
因此密码短语不会存储在任何地方,而是在启动时提取并用于解锁。明显的弱点是,查看启动顺序的人可以看到它是如何工作的,然后通过物理访问服务器来获取密码短语。由于它是特定于服务器的(假设处理器具有唯一的序列号),他们无法获得类似的嵌入式服务器硬件,他们需要与特定 microSD 卡绑定的硬件。
这主要是为了阻止有人盗窃 microSD 卡(但不是嵌入式服务器)并复制它。
我想我的底线问题是:我该如何将其添加到启动顺序中?我在基于 ARM 的硬件上使用 Arch Linux v3。