構成して知っていますパスワードテーブル自動的にロックを解除できます。ルクスそのドライブは、事前に手動でロック解除されたデバイスの他のドライブに保存されているキーファイルを使用してアクセスできます。私はいつも知りたかったです。他のデバイス/デバイスに保存されているキーファイルを使用することもできますか?、例えばSSH経由。
これが私が達成したいものです。暗号化されたLUKSドライブを搭載したコンピュータは、起動時にローカルネットワークの特定のIPアドレスを確認し、デバイス(Android携帯電話)がある場合はデバイスからキーファイルを読み取り、それを使用してドライブのロックを解除します。それ以外の場合はパスワードを求めます。
この問題を解決するより良い方法はありますか?私はそこで見つけました。青の隣接ロック画面でも同様の操作を行います。
ベストアンサー1
これは実際にLUKS 2を介して行うことができます。cryptsetup-ssh。 SSHトークンを追加するだけです。
cryptsetup-ssh add --ssh-keypath=<path> --ssh-path=<path> --ssh-server=<ip/url> --ssh-user=<username> <device>
どこ
ssh-keypathサーバーへの接続に使用される SSH 鍵のパス。ssh-serverサーバーのIPアドレスまたはURL。ssh-userサーバーに接続するときに使用するユーザー名。ssh-pathキーファイルを見つけることができるサーバーへのパス。
これはいわゆるLUKSメタデータトークン(基本的に上記の内容を含む小さなメタデータの塊)になります。これを使用してデバイスを開こうとすると、トークン内cryptsetup openのデータを使用してパスワードを取得しようとします。
これは比較的新機能(cryptsetup 2.4.0に追加)であり、まだ実験的なものと見なされ、ディストリビューションにcryptsetup-sshが提供されていない可能性があります。また、起動中にこれがsystemdでどれだけうまく機能するかわかりません。
もう 1 つの方法は Network Bound Disk Encryption (NBDE) で、Clevis-Tang クライアントとサーバー、LUKS (LUKS 1 および LUKS 2 サポート) を使用します。それについてもっと読むことができます。このRHELドキュメント。