La solución más sencilla sería tener instalado su servidor para que pueda (mínimamente) iniciarse sin un código de acceso, ya sea al no tenerlo cifrado, o al usar algún tipo de clave de hardware, como una memoria USB, que tenga los datos necesarios. para que el sistema arranque automáticamente. De esa manera, puede "bloquear" el servidor apagándolo y alejándose con la llave USB. IIRC, TrueCrypt (y presumiblemente por lo tanto, VeraCrypt , la bifurcación aún activa de TrueCrypt) admite el uso de archivos arbitrarios en memorias USB como códigos de acceso.
Eso es simplemente el nivel base. Una vez que el sistema está en funcionamiento (y en línea), puede ingresar y desbloquear manualmente el almacenamiento encriptado del servidor.
Para llegar a este tipo de configuración, tendría que hacer una copia de seguridad de sus datos, volver a particionar su (s) disco (s) y reinicializar su (s) sistema (s) de archivos, luego restaurar sus datos sobre los nuevos sistemas de archivos. Luego, deberá crear las áreas cifradas (o, si está utilizando una clave de hardware, con doble cifrado) y un enlace simbólico desde las distintas ubicaciones que ya tiene configuradas para su uso.
Si está cifrando directorios de inicio, tenga en cuenta que las claves de acceso de SSH almacenadas en el archivo ~/.ssh/authorized_keys de cada usuario no estarán disponibles para autenticar a los usuarios que no están conectados. Para solucionar este problema, suponga que está usando ecryptfs-mount-home , diga a sus usuarios que ejecuten ecryptfs-umount-private y luego instale sus claves de acceso público en el% no cifrado co_de % file (que puede requerir la creación de ~/.ssh/authorzied_keys ; ¡no te olvides de ~/.ssh o no funcionará!).
Alternativamente, puedes agregar algo como esto a tu archivo chmod 700 ~/.ssh :
AuthorizedKeysFile .ssh/authorized_keys /var/ssh/%u/authorized_keys
Esto requeriría que crees (y /etc/ssh/sshd_config y chown ) los directorios chmod apropiados ya que los usuarios no podrán hacerlo. Ahora los usuarios pueden tener dos archivos /var/ssh/<user> (o el usuario puede ejecutar authorized_keys para vincularlos).
Recuerde, si ha iniciado sesión, sus datos son vulnerables. Si un atacante apaga su sistema y lo vuelve a cargar con un disco de arranque, puede obtener acceso de root. Luego inicia sesión de forma remota y desbloquea cosas, de modo que el atacante tiene acceso a esas cosas. Cifrar su directorio de inicio es una gran idea, pero para cosas como las declaraciones de impuestos y otros documentos confidenciales, es mejor usar un espacio dedicado especial que se monta solo en la medida en que se necesita su contenido. Estos no son mutuamente excluyentes; Sugiero hacer ambas cosas.