具有加密根文件系统的服务器是否可以具有合理的高可用性?

具有加密根文件系统的服务器是否可以具有合理的高可用性?

我有一些服务器想保存在加密磁盘上,但我不想每次启动时都手动输入密码。我也不想将密钥以未加密的形式保存在机器上。TPM 非常适合这种情况,但如果有人偷了整台机器怎么办?

如果我设置某种“集群”,其中每台机器只将其他机器的密钥存储在静态加密的设备上,会怎么样?所以现在,只有当集群中的所有机器同时离线时,才会手动提供密码,但只能在其中一台机器上提供。

每个节点都会有一个带有 dropbear 实例的 initramdisk 和几个脚本,这些脚本将:

  1. 尝试检测集群中的其他节点。
  2. 向其他节点发送一些请求以转身通过 ssh 登录,并提供本地根文件系统的密钥。
  3. 如果集群中没有主机,或者没有主机具有适当的 ssh 密钥,则提示输入密码。

这样,密钥就不会以未加密的形式存储在任何地方,而且我可以重启所有服务器,只要在给定时间内至少有一台服务器保持运行。如果所有服务器同时停机,我就必须输入密码。

这是一个安全的解决方案吗?如果不是,是否可以修改基本思想使其成为安全的解决方案?

(此外,这种设置类型有现有的名称吗?)

答案1

这只是部分答案,但你有没有研究过阿韦尔? Arver 是一个用于由不同人员管理不同系统上的 LUKS 加密磁盘的工具。

相关内容