FreeBSD 加密概念：當被另一個系統掛載時，無需密碼或密鑰自動啟動？

最近，我為工作安裝了 FreeBSD，為加密安裝了 geli。（全盤加密，沒有啟動分區。）當我完成設置後，我發現每次啟動時，我都需要輸入解析密碼才能掛載根磁碟。

這不適合我的需要。我只想讓我的系統自動啟動，所以我可以通過 ssh 連接它。但是當其他人關閉我的機器，並嘗試使用另一個 freeBSD 系統來掛載我的磁碟時，他們不能。如果他們將分區掛載到另一個 FreeBSD 系統，他們只能看到 /boot 目錄。所有文件都是安全的！

我的概念可行嗎？（如果被另一個系統掛載，加密系統會自動啟動嗎？）如果是這樣，我如何在 freeBSD 上做到這一點？

tl：博士：沒有

如果您希望在啟動時自動使用密鑰，則必須在啟動時訪問該密鑰。這意味著在磁碟的未加密部分。

如果它位於磁碟的未加密部分，那麼其他人可以將磁碟從您的系統中取出，讀取密鑰並解密磁碟的其餘部分。

沒有辦法正確保護磁碟並且不儲存密鑰。

不可以。如果您希望自動解密，您需要將密碼以明文形式儲存在磁碟上，或者以某種（不良）方式隱藏。有足夠意志力的人將能夠輕鬆獲得該密碼。如果只有“/boot”未加密，則密碼必須存在，攻擊者只需找到它即可。

如果您只是不希望親自到場解鎖伺服器，則可以通過安裝未加密的系統來解決該問題，該系統將引導、啟動 ssh 等服務，從而使您能夠從遠端位置解鎖數據分區。

引用自：https://serverfault.com/questions/412857