私のシステムは非常に機密性の高いデータでいっぱいなので、可能な限り暗号化する必要があります。
起動中に毎回長いパスワードを要求する暗号化されたDebianインストールがあります。パスワードをリモートで入力できるように設定する簡単な方法はありますか?
他のディストリビューションで実行できる場合は、Debianの代わりに他のディストリビューションをインストールしてもかまいません。
2
どのような攻撃経路が心配ですか?ハードウェアキーストア(ソフトウェアで秘密キーを抽出することはできませんが、そのハードウェアを所有している人なら誰でもコンテンツを解読できる)は適切ですか?(ところで、多くのフルディスク暗号化システムは、それらを使用するときにマスターキーのロックを解除し、そのキーをRAMに保存することに注意してください。つまり、十分な権限を持つユーザーは、ロックされていないシステムからでもマスターキーをコピーできる可能性がありますパスワードを取得することはありません。これは、実際の復号化をハードウェアで実行するほうが安全な場所です)。
—
Charles Duffy
@CharlesDuffyサーバー(またはそのディスク)が物理的に盗まれることが主な問題であり、ハードウェアキーも盗まれる可能性があるため、問題にはなりません。私は特に40以上のシンボルファイルシステムパスフレーズと20以上のシンボルルートパスワード(システム全体で唯一のユーザーです)を設定しているので、ほとんどの場合安全ですよね?
—
user2363676 2018年
取り外されて盗まれた、またはハードウェアの電源が入っている間に攻撃者が物理的にアクセスするのを心配していますか?新しいデバイスをPCIバスにホットプラグできる場合、物理メモリのコピーを作成できるため、実行中のロックされていないシステムから暗号化キーを盗むことができます。(キーを暗号化するために使用されるパスワードを盗むことはできませんが、キー自体を持っている場合、それは無関係です)。
—
Charles Duffy、
別の攻撃方法は、復号化/ロック解除プロセス中に誰かがブートシーケンスを変更してパスワードのコピーを作成し、マシンを再起動して、ログインしてロックを解除するのを待つことです(そのため、追加したコードにコピーが保存されます)ハードウェアを盗む前に、パスワードのアウトオブバンド)。包括的な脅威モデルを考え出す(およびそれらを軽減する)には、時々注意が必要です。(私はmadscientist159がすでにその可能性を指摘しているのを見ています)。
—
Charles Duffy、