我已经将我们公司的新服务器设置为加密硬盘。启动时,它会在启动前要求输入密码。很好。但我刚刚意识到我们一直通过 ssh 登录服务器。如果我需要远程重启机器或周末断电怎么办。
有办法解决这个问题吗?我仍然希望加密整个磁盘。
谢谢
答案1
没有安全的方法可以解决这个问题。
您可以:
- 自动输入密码。从而否定了安全性。
- 或者您在启动时手动输入它。
- 或者您在启动一个小的未加密分区后手动输入它。
最后一种方式可以让你启动一个最小系统,通过 SSH 进入该系统然后手动挂载包含受保护数据的分区,但是这种方式也削弱了安全性,因为有人可以破解这个未加密的部分并等待你输入加密密码。
如果您的服务器配备了远程管理功能(例如 Dells DRAC、HP ILO 等),并且位于安全网络上,那么您也可以考虑使用它来远程获取控制台并输入密码(一种远程选项 2)。这假设您信任远程管理功能和网络。
答案2
是的,有办法解决这个问题,请参阅 Takkat 的评论。您需要 initramfs 中的 dropbear 和 busybox,以便您可以 ssh 进入机器并输入密码。有关详细信息,请参阅上述链接。
(我认为你的 /boot 分区无论如何都是未加密的)