我有一个运行 Nextcloud 的 Raspberry Pi 4 (4GB)。因为我的所有数据和备份都保存在外部 USB 驱动器上,所以我将使用 VeraCrypt 容器对它们进行加密。使用 VeraCrypt 安装和拆卸容器工作正常。
我想在启动后安装我的 VeraCrypt 容器。我认为有两种方法可以做到这一点:
- 每次启动后通过命令行手动挂载容器,并手动输入容器密码、PIM等。
- 通过脚本自动挂载容器
我更喜欢第二种解决方案,但我必须以某种方式提供密码。我可以运行命令
veracrypt /media/backup/test.hc /media/backup/test/ --password=test --pim=20 -k "" --protect-hidden=no
在启动时,但密码将在自动启动文件中可见...(您可以从树莓派中删除SD卡,然后从上面的命令中读出密码)
所以我的问题是: 是否有一种相当安全的方法来自动挂载我的 VeraCrypt 容器,而不使解密密码可见且无需手动输入密码?
答案1
我遇到了一个类似的问题:我在车库里放置了一台服务器,以便将外部备份存储在远离房屋的位置。 (如果房子被烧毁,备份将在远程车库中。)备份服务器上的卷使用 VeraCrypt 进行加密。密码存储在房子的主服务器上。当备份服务器启动时,它连接到主服务器,获取密码(存入 RAM)并用该密码解锁 VeraCrypt 卷。如果车库中的服务器被盗并启动,密码(在主服务器上)将不可用,并且 VeraCrypt 卷保持锁定状态。因此,小偷只能在备份服务器仍然连接到 LAN 时才可以访问数据 - 在我的情况下这是不可能的事情。
因此,如果您将密码存储在 LAN 上和 Pi 外部的其他位置,那么当小偷偷走 Pi、启动 SD 或连接的驱动器时,您应该不会受到影响。