задача: ограничение доступа к системе при физическом доступе к диску. Но без ввода пароля.

Проблема XY. Что на самом деле нужно?

Если есть физ доступ к работающей машине то и файлы системные просмотреть можно. Диск при запуске вы же всеравно расшифровываете

и при этом при перезагрузке не требовалось ввода паролей или вставления флешек с ключом.

А откуда тогда будет ключ шифрования браться?

Т.Е. что бы даже при наличии физического доступа к диску без пароля root нельзя было получить доступ к файлам системного диска.

А при чём тут пароль root?

Вообще, тут логическое противоречие: хочу, что бы система была зашифрована, но не хочу вводить пароль/вставлять флешку/[обеспечивать доступность ключа иным способом]

Если надо чтобы пионер Вася, ворвавшись в серверную и вынув винт внезапно ничего не понял, то кладите ключ в (незашифрованный) /boot. Иначе задача не решается.

нужен черный ящик который обрабатывает входящие данные данные и отдает выходящие. В данной реализации файлы сложенные в сетевую шару. Данные не являются секретными ни до ни после обработки, но используемое при этом ПО, его настройки и параметры хочется скрыть.
Физически устройство это тоже должен быть ящик - ПК без монитора и клавиатуры.

Храните ключ в TPM, ковыряйтесь с Trusted Boot.

такой путь мне известен. Вася при этом получает в том числе и ключ на не зашифрованном разделе.
Отсюда и возник вопрос.

есть чисто программное решение?

сделай что бы ключ к расшифровке корня вытягивался wgetом из initrd.

можно несколько поподробнее? если корень еще не смотрирован то где взять wget? Но кстати, интересует не шифрование всего корня, там просто ОС, может можно проделать фокус с шифрованным контенером или разделом на который будет вынесена часть софта подлежащего сокрытию.
Вопрос как сделать так, что бы условный Вася имея в руках диск не мог взять оттуда ключ и расшифровать скрытую часть данных.
Я понимаю что здесь есть некое логическое противоречие, но все таки....

Тут надо тогда ключ подгружать из внешнего источника. Или флеш или по сети.

Подключаешь к системнику gps и используешь в качестве ключа кеш от текущих координат. Ну естественно будет нешифрованный бут с initrd куда надо будет добавить поддержку gps и скрипт, который будет передавать координаты на хеш и хеш на дешифровку. Если Васян и сопрет диск/комп, то сможет расшифровать только в близости от вашего ДЦ.

Ну и как бонус, можешь добавить, что при загрузки из «левого» места начинается: ii if=/dev/urandom of=/dev/sda

:s/ii/dd

Для таких как ты придумали Clevis и Tang. Дока от [url=https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Network-Bound_Disk_Encryption.html]КраснойШапки[/url].

ЗЫ Стыдно при звездах этого не знать)

Для таких как ты придумали Clevis и Tang. Дока от КраснойШапки.

ЗЫ Стыдно при звездах этого не знать).

ЗЫЗЫ Гребанный дефолт с маркдауном.

спасибо.
причем тут звезды? раньше не надо было поэтому и не знал.

Это ж придется или огрублять координаты или делать много-много ключей на все координаты, по котрым gps скачет и шифровать всеми. Тоже вариант конечно… Но может быть проще взять ключ из имени wifi например или из номера USB устройства, воткнутого в USB hub или mac-адрес роутера, являющегося гейтвеем? или комбинацию этих стабильных чисел?

А если есть возможность сделать просто зашифрованный контейнер с софтом, то лучше так и сделать, так как админить будет проще.

а вариант вообще не держать «там» системного раздела, и грузить по PXE не вариант?

нет. «там» сеть не всегда, только когда надо по радиоканалу. Эти «изделия» могут стоять удаленно от цивилизации и жевать данные с своей локалке из нескольких устройств. Иногда оператор оттуда снимает результаты.

ограничение доступа к системе при физическом доступе к диску. Но без ввода пароля.

Secure Boot с залоченным загрузчиком.

Нет. Тебе всё равно нужен root-of-trust к которому у Васяна не будет физического доступа, то есть TPM или хотя бы крипточип типа atecc508a.

Есть варианты как обойтись софтовыми методами, но они требуют кастомного железа.

не уверен, возможно это https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-policy-based_decryption

4.10.1. Network-Bound Disk Encryption The Network-Bound Disk Encryption (NBDE) allows the user to encrypt root volumes of hard drives on physical and virtual machines without requiring to manually enter a password when systems are restarted.

Как вам уже предложили — Trusted Boot с помощью TPM.

TPM, если им доверяешь

Но надо что бы системный раздел был шифрованный и при этом при перезагрузке не требовалось ввода паролей или вставления флешек с ключом.

Я бы убрал тег «шифрование» и заменил бы его тегом «шизофрения».