Linux 机器有一个包含敏感数据的分区。目标是防止从实时 USB 启动并安装机器的硬盘驱动器并复制数据。
该分区使用以下加密:密码设置。但它必须在启动时解密。因此,创建了一个密钥文件来保存密码。密钥添加到 LUKS:
sudo cryptsetup luksAddKey <encrypted_device> <path_to_key>
为了使系统在启动时找到它,密钥文件链接在在/etc/crypttab中:
$ sudo nano /etc/crypttab
# Content of the crypttab file
cryptpart UUID=<partition_uuid> <path_to_key> luks
问题
使用实时 USB,可以读取在/etc/crypttab中并找到密钥文件的路径,然后破解锁。
解决方案是什么?
答案1
您描述的本质上就是将钥匙放在锁旁边。这很方便,但您说得对,这并不安全。
理想情况下,你应该存储密钥文件在不同设备上. 最好是将硬件(如 USB 棒)与加密系统安全分开存储。
这种情况并不是 Linux 加密设计的失败,也不是 Ubuntu 设计的失败。开发人员已经尽到了自己的责任。这是人类的失败该系统管理员需要履行其职责,并且不能通过软件轻易解决。