LINUX.ORG.RU
ФорумSecurity

Расшифровака \ раздела ключом по сети

 , , ,


1

1

Преамбула.

dm-crypt, debian дистрибутив

Сделал расшифровку / раздела ключом лежащим на флешке, и сразу задумался, а как расшифровывать / если машина не одна, и при этом иметь все ключи или ключ в одном месте, а не собирать горку флешек.

Посему, вопрос.

Как расшифровать root раздел ключом расположенным в локальной сети или в интернет. Протокол неважен, https, smb, nfs, и т.д. Если расшифровывать не рут раздел, то всё просто, монтировать смб шару и указать путь к ключу, но как быть с рут, ведь пока он не загружен инструментарий крайне мал.

Нашёл 2 пути и оба не знаю как реализовать.

1. Грузить PXE образом и расположить в initrd.img ключ.

2. Переписать passdev скрипт чтобы он мог скажем wget'ом скачать ключ, расшифровать раздел и удалить ключ.

Проблемы:

1. Загрузить ОС лежащую на локальном диске PXE образом содержащим vmlinuz и initrd.img получилось, а вот как подсунуть ключ не знаю. Во время загрузки initrd монтируется куда то?

2. passdev похоже bin а не sh скрипт. Да и к тому же знаний на это не хватает.

Подскажите как быть?

Может есть другие программы для шифрования, которые умеют, расшифровывать ключом из сети.

Или как по другому организовать шифрование и при этом иметь один ключ в одном месте, а не 10 в 10ти?

Спасибо



Последнее исправление: dzirtt (всего исправлений: 1)

Качать ключ по сети небезопасно :) Тут уж туннельчик криптованный нужно поднимать для передачи.

Demacr ★★
()

Как расшифровать root раздел ключом расположенным в локальной сети или в интернет.

Подымаем initr{d/amfs}, делаем статический ip, качаем с сервака ключи, расшифровываем всё что зашифровано, выгружаем ненужное и продолжаем загрузку.

init_6 ★★★★★
()
Ответ на: комментарий от init_6

Похожий вариант у меня был, только с PXE.

К сожалению я не могу такое реализовать в виду не знаний нюансов написания bash скриптов. Потому и ищу более простое\коробочное решение.

dzirtt
() автор топика
Ответ на: комментарий от dvrts

простите, конечно же /

Недавно начал знакомство с linux.

dzirtt
() автор топика
Ответ на: комментарий от dzirtt

К сожалению я не могу такое реализовать в виду не знаний нюансов написания bash скриптов. Потому и ищу более простое\коробочное решение.

Коробочного решения ты не найдешь.

Учи bash. Затем кури initramfs оно реализует всё что угодно кроме статического ip и забора ключа с сервера :) и читай все ссылки из readmy по ссылке выше - там можно найти то что тебе надо.

Успехов.

init_6 ★★★★★
()
Ответ на: комментарий от init_6 
mkdir /tmp
cd /tmp

#count of try's
#tryCountKey=5
#tryCountOpen=5

#########key##########
ifconfig eth0 192.168.1.55 up
sleep 2
wget ftp://***:***@192.168.1.1/key
#########key##########

echo "---key download---"

#########decrypt##########
cryptsetup --key-file /tmp/key luksOpen /dev/sda5 sda5_crypt 

if [ -z "$(blkid|grep 'sda5_crypt')" ]; then reboot ;  fi

echo "---container decrypt---"
#########decrypt##########

rm key

exit

Написал скрипт, работает. Всем спасибо.

dzirtt
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security