Freebsd

FreeBSD 加密概念:當被另一個系統掛載時,無需密碼或密鑰自動啟動?

  • November 12, 2014

最近,我為工作安裝了 FreeBSD,為加密安裝了 geli。(全盤加密,沒有啟動分區。)當我完成設置後,我發現每次啟動時,我都需要輸入解析密碼才能掛載根磁碟。

這不適合我的需要。我只想讓我的系統自動啟動,所以我可以通過 ssh 連接它。但是當其他人關閉我的機器,並嘗試使用另一個 freeBSD 系統來掛載我的磁碟時,他們不能。如果他們將分區掛載到另一個 FreeBSD 系統,他們只能看到 /boot 目錄。所有文件都是安全的!

我的概念可行嗎?(如果被另一個系統掛載,加密系統會自動啟動嗎?)如果是這樣,我如何在 freeBSD 上做到這一點?

tl:博士:沒有

如果您希望在啟動時自動使用密鑰,則必須在啟動時訪問該密鑰。這意味著在磁碟的未加密部分

如果它位於磁碟的未加密部分,那麼其他人可以將磁碟從您的系統中取出,讀取密鑰並解密磁碟的其餘部分。

沒有辦法正確保護磁碟並且不儲存密鑰。

不可以。如果您希望自動解密,您需要將密碼以明文形式儲存在磁碟上,或者以某種(不良)方式隱藏。有足夠意志力的人將能夠輕鬆獲得該密碼。如果只有“/boot”未加密,則密碼必須存在,攻擊者只需找到它即可。

如果您只是不希望親自到場解鎖伺服器,則可以通過安裝未加密的系統來解決該問題,該系統將引導、啟動 ssh 等服務,從而使您能夠從遠端位置解鎖數據分區。

引用自:https://serverfault.com/questions/412857