ฉันจะอนุญาตให้ถอดรหัสลับดิสก์ที่เข้ารหัสโดยไม่ต้องใส่ข้อมูลบน RHEL6 ได้อย่างไร


1

ฉันต้องการกำหนดค่าดิสก์ที่เข้ารหัสใน RHEL6 แต่คีย์ควรเก็บไว้ในเซิร์ฟเวอร์เครือข่าย / ฐานข้อมูลดิสก์ที่เข้ารหัสควรได้รับการถอดรหัสในระหว่างการบูตหรือหลังการบู๊ตโดยใช้คีย์นี้และไม่ต้องถามรหัสผ่านใด ๆ

คำตอบ:


1

คุณสามารถตั้งค่านี้ได้โดยใช้ crypttab keyscript ตัวอย่างรายการ crypttab:

# target,sourcedev,keyfile,options
cdisk3 /dev/sda3 none cipher=twofish,hash=ripemd160,size=256,keyscript=/path/to/script

สคริปต์จะถูกเรียกใช้งานด้วย keyfile (ในกรณีนี้ "none") เป็นอาร์กิวเมนต์เท่านั้นและเอาต์พุตจากสคริปต์จะถูกใช้เป็นคีย์

ได้รับส่วนที่เหลือของการป้อนข้อมูลเป็นตัวแปรสภาพแวดล้อม:

       CRYPTTAB_NAME
           The target name

       CRYPTTAB_SOURCE
           The source device

       CRYPTTAB_KEY
           The key file

       CRYPTTAB_OPTIONS
           A list of exported crypttab options

       CRYPTTAB_OPTION_<option>
           The value of the appropriate crypttab option, with value set to 'yes'
           in case the option is merely a flag.

ฉันได้รับสิ่งนี้จากหน้าคู่มือ crypttab (5) มันเขียนได้ดีกว่าที่ฉันสามารถให้ได้

แน่นอนว่าการตั้งค่าแบบนี้จะทำให้ยากต่อการรักษาความปลอดภัยและขึ้นอยู่กับสิ่งที่คุณใส่ในสคริปต์ของคุณ


0

IMHO คุณสามารถทำได้สำหรับดิสก์ที่ไม่ใช่บูตและไม่ใช่รูท ในการเข้าถึงบริการเครือข่ายเพื่อรับข้อมูลรับรอง Linux จะต้อง:

  1. บูตระบบ
  2. ตั้งค่าการเมาท์ระยะไกล
  3. ดึงเครดิต
  4. เมานต์ดิสก์

คุณสามารถเขียนเชลล์สคริปและตรวจสอบให้แน่ใจว่ามันเริ่มต้นตอนบูท โปรดทราบว่าคุณจะต้องจัดเก็บข้อมูลประจำตัวของเครือข่ายแชร์ / ฐานข้อมูลบนระบบไคลเอนต์ซึ่งมีวัตถุประสงค์ที่จะเอาชนะ :)


0

มีเครื่องมือสำหรับทำสิ่งที่คุณต้องการอยู่แล้วอย่างน้อยก็สมมติว่าคุณไม่ได้บูทจากวอลลุ่มเข้ารหัส (การบูทแบบไม่ต้องใส่ข้อมูลจากวอลลุ่มเข้ารหัสนั้นมาพร้อมกับชุดของปัญหาเองและในขณะที่มีข้อบ่งชี้ชัดเจน ว่ามันเป็นไปได้ที่จะใช้สิ่งนี้ฉันไม่คิดว่าฉันต้องการที่จะลองในครั้งแรกอย่างน้อย) มันเรียกว่าดอส

โดยทั่วไปสิ่งที่มันทำคือเก็บคีย์บนระบบแยกต่างหาก (เซิร์ฟเวอร์ Mandos) และอนุญาตให้ไคลเอนต์ทำการสอบถามในแบบปลอดภัย เมื่อไคลเอนต์มีคีย์สามารถใช้คีย์นั้นเพื่อปลดล็อกคอนเทนเนอร์ LUKS

แน่นอนว่าคุณจะต้องปกป้องเซิร์ฟเวอร์ Mandos อย่างเหมาะสม แต่นั่นเป็นปัญหากับหน่วยเก็บข้อมูลที่สำคัญและแน่นอนไม่ได้เป็นเอกลักษณ์ของ Mandos

มีแผนภาพแสดงการทำงานบนเว็บไซต์

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.