我在 VMware 上有 10 台带有 elasticsearch 的虚拟机,合规部门说我应该加密数据卷,基于磁盘的加密足以满足合规性要求,我想使用密钥文件自动挂载包含数据库数据 /var/lib/elasticsearch 的 LUKS 分区,但主要问题是此文件存储在未加密的根分区上,如何安全地存储它?我不想使用带有密钥文件的 USB 记忆棒,因为我有 10 台带有加密分区的虚拟机,如果我加密我的 /boot 分区,我应该输入密码来启动操作系统,但我无权访问 GRUB 控制台和 Vmware(因为我只能 ssh 访问虚拟机)我认为只加密数据卷(仅用于存储 elasticsearch 数据的单独磁盘)并在每次重新启动 vm 时手动挂载它(是的,愚蠢的解决方案)但我不想将密码放在 systemd 文件的某个地方来挂载我的 LUKS 分区也许存在其他变体?