Wie kann ich die unbeaufsichtigte Entschlüsselung verschlüsselter Festplatten auf RHEL6 zulassen?

1284
user3912750

Ich muss eine verschlüsselte Festplatte auf RHEL6 konfigurieren, der Schlüssel sollte jedoch auf dem Netzwerkserver / der Datenbank gespeichert werden. Die verschlüsselte Festplatte sollte während des Startvorgangs oder nach dem Start mit diesem Schlüssel entschlüsselt werden, ohne nach einer Passphrase zu fragen.

1

3 Antworten auf die Frage

1
feitingen

Sie können dies mit einem Crypttab-Keyscript einrichten, z. B. einem Crypttab-Eintrag:

# target,sourcedev,keyfile,options cdisk3 /dev/sda3 none cipher=twofish,hash=ripemd160,size=256,keyscript=/path/to/script

Das Skript wird mit der Schlüsseldatei (in diesem Fall "none") als einziges Argument ausgeführt, und die Ausgabe des Skripts wird als Schlüssel verwendet.

Der Rest der Eingabe wird als Umgebungsvariable abgerufen:

 CRYPTTAB_NAME The target name  CRYPTTAB_SOURCE The source device  CRYPTTAB_KEY The key file  CRYPTTAB_OPTIONS A list of exported crypttab options  CRYPTTAB_OPTION_<option> The value of the appropriate crypttab option, with value set to 'yes' in case the option is merely a flag.

Das meiste davon habe ich von Manual page crypttab (5) erhalten, es ist besser als das, was ich anbieten kann.

Natürlich ist es schwierig, ein solches Setup zu erstellen, und es hängt sehr stark von den Inhalten in Ihrem Skript ab.

0
mtak

IMHO können Sie dies nur für Nicht-Boot- und Nicht-Root-Festplatten tun. Um auf einen Netzwerkdienst zuzugreifen, um die Berechtigungsnachweise zu erhalten, muss Linux Folgendes tun:

  1. Starten Sie das System
  2. Richten Sie eine Remote-Halterung ein
  3. Holen Sie sich die Creds
  4. Mounten Sie die Diskette

Sie könnten ein Shell-Skript dafür schreiben und sicherstellen, dass es beim Booten gestartet wird. Denken Sie daran, dass Sie die Anmeldeinformationen der Netzwerkfreigabe / Datenbank auf dem Client-System speichern müssen, was den Zweck verfehlt :)

0
a CVn

Es gibt bereits ein Tool, mit dem Sie so ziemlich alles tun können, was Sie wollen, zumindest unter der Annahme, dass Sie nicht von einem so verschlüsselten Volume booten (das unbeaufsichtigte Booten von einem verschlüsselten Volume ist mit eigenen Problemen behaftet und es gibt klare Hinweise Ich denke nicht, dass ich es zumindest beim ersten Versuch versuchen möchte. Es heißt Mandos .

Grundsätzlich wird der Schlüssel auf einem separaten System (dem Mandos-Server) gespeichert, und der Client kann ihn auf sichere Weise abfragen. Sobald der Client den Schlüssel hat, kann dieser Schlüssel zum Entsperren eines LUKS-Containers verwendet werden.

Natürlich müssten Sie den Mandos-Server angemessen schützen. Dies ist jedoch bei jedem Schlüsselspeicher ein Problem, und sicherlich nicht bei Mandos.

Es gibt ein Diagramm, wie es auf der Website funktioniert .

Verwandte Probleme