Ejecuto una pequeña computadora con una partición de datos encriptados. De modo que tengo el menor esfuerzo posible para descifrar el disco duro después de un reinicio (sin inicio de sesión ssh adicional, entrada de contraseña, etc.), pensé en almacenar el KeyFile en una pequeña Raspberry Zero en la red local en un contenedor cifrado. Raspberry se ejecuta 247 y monta el contenedor cifrado en / mnt / KeyStore /. Tan pronto como la computadora arranca, recupera el KeyFile de la Raspberry, descifra y monta la partición de datos y luego destruye el KeyFile. El proceso de descifrado depende mucho de la frambuesa.
He añadido un código de ejemplo de trabajo.
# Load SSH Agent and add Keys
eval 'ssh-agent -s -t 5m'
ssh-add -t 5m /root/.ssh/*.prv
# Create RamFS
[[ -d /root/myramfs ]] || mkdir /root/myramfs
mount ramfs /root/myramfs/ -t ramfs
# Get the KeyFile from the KeyStore
scp [email protected]:/mnt/keyStore/keyFile /root/myramfs/keyFile
# Decrypt the device
cryptsetup open /dev/sda1 storage --key-file /root/myramfs/keyFile
# Remove the KeyFile and close the RamFS memory
shred --remove --zero /root/myramfs/keyFile
umount /root/myramfs
# Mount the device
mount /dev/mapper/storage /mnt/storage -o noatime,defaults
¿Hay mejoras o inquietudes?