私はRAID-1システム暗号化デバイス(LUKSのLVM)にDebian Linuxシステム(amd64)をインストールし、データ(LUKS、おそらくLVM)を配置する4つ以上のディスクで構成されたRAID-6を持っています。
デフォルトのアイデアは、システム暗号化パーティションのロックを解除し(ローカルで起動したりSSH経由で起動したり)、RAID-6暗号化パーティションのキーファイルを/ etc / crypttabに保存することです。これはセキュリティリスクをもたらしますか?私は...誰もが自分のシステムにローカル/リモートでアクセスできる場合は役に立たず、「root」攻撃(SSHなど)に脆弱なサーバーで実行されるサービスがたくさんあるとします。他のオプションはあります(SSHを介してパーティションのロックを解除することに加えて、たとえばデータパーティションがマウントされる前にバックアップジョブが開始されるため、問題になる可能性があります)。
他のマシンでは、バックアップにLUKS +グレーホール(RAID-6なし)を含む複数のディスクを使用する予定です。同じパスワードを10回入力して10個のディスクをロック解除するのは本当に痛いでしょう.... ..
ベストアンサー1
/lib/cryptsetup/scripts/decrypt_derivedあるディスクからcrypttab別のディスクにキーを自動的に使用できます。
このdecrypt_derived スクリプトは Debian の cryptsetup パッケージの一部です。
sda6cryptからsda5にキーを追加する小さな例:
/lib/cryptsetup/scripts/decrypt_derived sda6crypt > /path/to/mykeyfile
cryptsetup luksAddKey /dev/sda5 /path/to/mykeyfile
ls -la /dev/disk/by-uuid/ | grep sda5
echo "sda5crypt UUID=<uuid> sda6crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived" >> /etc/crypttab
shred -u /path/to/mykeyfile # remove the keyfile
今は実際にファイルを削除するのが非常に難しいので、/path/to/mykeyfileが暗号化されたドライブにあることを確認してください(sda6crypt私の例では良い解決策になります)。
通常、ユーザー空間ファイルシステム暗号化を使用してこれを実行できますencfs。