インストーラのフルディスク暗号化オプションを使用して、古いコンピュータ(i386)にDebian 10をインストールしました。
実行すると、画面に復号化パスワードを入力するまで何も実行されません。
そのため、起動後にマシンにSSH経由で接続できず、物理アクセスが必要です。
今、いくつかの質問があります。
1)起動後に暗号化されたパスワード要求を無効にできますか?
2)1回の操作でユーザーログインとディスクの復号化を一種の「マージ」する必要があります(奇妙な考えです:-)ここで私が選択できる唯一のオプションは、標準インストールと後でデフォルトパーティションを暗号化することだけです。そうですか?
2)インストーラのフルディスク暗号化オプションを使用してパーティションサイズを手動で設定できないのはなぜですか? (後にUbuntu版でもこれを観察しました)
あなたの考えに感謝します!
ベストアンサー1
この制限を克服する方法はいくつかあります。ここに3つあります(3番目はマスターして統合するのが本当に難しいです)。
LUKSマスターキーをデコードするために使用されるパスワードを含むデバイス(USBキーなど)が必要です。これにより、 Debian は で説明されているようにキースクリプトを使用して起動時に自動的にこのキーを使用して
passdevに追加できます。/etc/crypttab/usr/share/doc/cryptsetup-run/README.Debian.gz。 USBキーを物理的に盗まれた場合、パスワードと暗号化が損なわれます。現在のインストールに追加できます。リモートロック解除の使用ドロップベア、文書が含まれています。
/usr/share/doc/dropbear-initramfs/README.initramfs: LUKS マスターキーのロックを解除するために、ブート段階で SSH を介してシステムに接続できます。サーバーが物理的に破損し、サーバーの起動が変更されると、リモートで入力されたパスワードと暗号化が破損する可能性があります。現在のインストールに追加できます。わずかに調整すると、以前の方法とこの方法を同時に使用することもできます(通常、ドロップビールは通常のキーボード入力と同時に使用できます)。ところで、興味があれば、これはおそらく最も安全なアプローチであり、通常は信頼できないデータセンターに展開された暗号化サーバーファームをサポートするために複雑なインフラストラクチャが必要です。U字型クリップ、一般的に唐、Redhatによって開発されました(より多くのドキュメントが利用可能な場合:RHEL7、RHEL8)。両方はい 包装Debianでは、統合が複雑になる可能性があります。これは次の機能に基づいています。シャミールの秘密共有、秘密は複数の場所に分散され、他の同様の機能を介して秘密を維持します。その目的は、セキュリティ上の損傷への抵抗を強化しながら、リモートでLUKSを自動的に復号することです。
最後の質問について:サイズを選択できるはずですが、セカンダリモードなしで手動で設定する必要があります。 Debian インストーラにはいくつかの欠点もあります。 LUKSとLVMを使用してパーティショニングステップを完了した後、心を変えて変更することは困難です(そして通常はインストールを再開する方が高速です)。メニューで質問の優先順位を変更することを選択すると、より多くのオプションが利用可能になります。