如何在服务器上安全地挂载 LUKS 分区

如何在服务器上安全地挂载 LUKS 分区

我很好奇是否可以在 Ubuntu 10.0.4 LTS 上安全且自动地挂载使用 LUKS 加密的 cryptsetup 分区。

例如,如果我使用加密分区的密钥,那么该密钥必须显示在未加密的设备上,如果有人窃取了我的磁盘,他们将能够找到密钥并解密分区。

有没有安全的方式来挂载加密分区?如果没有,有什么可以做我想做的事情吗?

答案1

是的,这是可能的——例如,您可以将密钥存储在加密的主目录中,或存储在 LVM 加密的系统卷上。但是,这两种方法都要求您在某个时候解密存储密钥的分区——如果您正在寻找无人看管在启动时安全安装加密设备,这是一个更大的挑战。 请参阅此问题进行讨论。

我们经常使用加密的 LVM 系统驱动器,虽然在启动时必须输入密码有点麻烦,但这意味着我们可以在发生物理丢失或被盗时合理地保护磁盘(以及我们要安装的任何其他加密设备、分区或卷)。无助于保护跑步系统有点,但是。

答案2

就像你的房子或汽车一样,保证数据安全的唯一方法就是不要把钥匙随处乱放......这会妨碍自动启动,除非你要做一些事情,比如认真保护密钥服务器,比如把它建到墙上或把它灌入地基?:-)

就我个人而言,在这种情况下我做了两件不同的事情。我的一台机器上有一个远程 KVM 卡,因此当它启动时,我可以通过 KVM 登录并输入加密密码。另一台机器我有一个未加密的根分区,然后将安全重要数据存储在另一个分区上,我必须通过 ssh 进入并解密/挂载该分区。我最担心的是有人闯入并窃取盒子,然后获取所有这些私人数据的访问权限。

相关内容