我正在尝试设置一台带有加密(和非加密)分区的服务器,但不希望需要物理访问来重新启动它(它是一台服务器)。有没有办法设置加密分区,以便它不会阻止机器启动到 SSH 状态(或者需要加密交换,这也需要在启动时通过物理访问解锁?)
如果需要在登录后手动安装,那就没问题,只要我可以安全地执行此操作而sudo reboot不必事后插入显示器和键盘即可。
无论如何,Ubuntu 都会重新安装,因此需要创建新分区表的解决方案是可以的。
答案1
只要您确保不需要加密分区上的任何数据来启用系统启动,您就可以删除对它的引用,以/etc/crypttab阻止它在启动时自动安装。或者,您可以保留引用,但添加选项noauto。
至于交换,这里最简单的解决方案就是在每次启动时使用随机密钥对其进行加密,因为交换上的数据不需要在重新启动之间保留,无论如何这完全没问题,您可以使用如下条目来crypttab执行此操作:
sda6_crypt /dev/sda6 /dev/urandom cipher=aes-xts-plain64,size=256,swap,discard
sda6用你的物理交换分区替换。