我们正在构建一个基于 Linux 的系统,该系统将位于我们客户的站点并由我们的客户操作。
我们希望系统上的所有数据都经过加密,这样即使数据被盗,数据仍然是安全的。
但是,我们不能指望我们的客户在启动时记住并输入长密码,而且无论如何,系统最好是无头的。
我认为拥有一个 USB 加密狗应该不难,只需在系统启动时输入密码即可。但到目前为止,我发现的都是双因素身份验证的解决方案,仍然需要用户输入密码。
有哪些解决方案可以在启动时解锁加密而无需输入密码?
答案1
如果你已经cryptsetup
安装的话,man crypttab
将会很有帮助。
/etc/crypttab
配置启动时如何解锁磁盘。其第三个字段包含密钥文件的路径。它通常是none
,这意味着应该以交互方式要求用户输入密码。但您也可以提供文件路径。密码相当于包含此密码的文件。您可以生成一个充满随机字节的文件,将其存储在廉价的闪存驱动器上,并指向将crypttab
其用作密钥文件。
请注意,通过这种方式,任何人都可以将“密钥驱动器”插入普通电脑并从中复制密钥。
以下是如何在加密驱动器上手动安装 Ubuntu。它不完全是您想要的,但如果您不想太过依赖手册,它包含了所有必要的步骤。