我有一个 CentOS 6.5 环境,它使用 Kickstart 启动服务器。我们的 Kickstart 要求之一是分区必须加密。由于 Anaconda 只能接受 LUKS 加密分区的纯文本密码,那么保护 Kickstart 配置文件的最佳方法是什么?我们目前通过 HTTP 提供服务,很快就会使用 HTTPS。
答案1
我们所做的是使用虚拟密码启动,然后在安装后更改它。
答案2
如果您未在 RHEL 6 kickstart 配置中指定“--passphrase”,anaconda 将在安装时提示您输入密码。这将帮助您完全避免在 kickstart 配置文件中存储 LUKS 密码。
这似乎不适用于 RHEL 7;相反,安装会完全失败。
答案3
也许可以在系统上生成它们并将它们存储在已安装的系统上,以便从服务器检索(通过已安装的authorized_key)?您只需避免在检索密钥之前重新启动即可。