Я хотел бы, чтобы каталог eCryptfs "безопасно" автоматически монтировался при загрузке без входа в систему. Мой сценарий таков: у меня есть встроенный сервер ArchLinux (на базе ARM), который использует съемную карту microSD для постоянного хранения и файловой системы.
Я хотел бы иметь зашифрованный каталог на карте microSD, чтобы, если кто-то вытащит карту microSD и попытается скопировать ее, он не сможет получить доступ к файлам в зашифрованном каталоге.
Моя мысль была такая:
Используйте dmidecode для получения идентификатора и "аппаратного отпечатка" сервера и используйте хэш вывода dmidecode в качестве ключевой фразы для шифрования каталога.
Итак, я хочу, чтобы при загрузке dmidecode информацию, хешировал ее, а затем использовал eCryptfs для автоматического монтирования, используя хэш в качестве ключевой фразы.
Таким образом, фраза-пароль нигде не сохраняется, она загружается при загрузке и используется для разблокировки. Очевидным недостатком является то, что кто-то, глядя на последовательность загрузки, может увидеть, как она работает, а затем получить парольную фразу, имея физический доступ к серверу. Поскольку он специфичен для сервера (предполагая уникальный серийный номер для процессора), они не могут получить аналогичное встроенное серверное оборудование, им потребуется тот, который привязан к конкретной карте microSD.
В первую очередь это должно послужить сдерживающим фактором для того, чтобы кто-то украл карту microSD (но не встроенный сервер) и скопировал ее.
Я предполагаю, что мой основной вопрос: как бы я добавил это в последовательность загрузки? Я использую Arch Linux v3 на ARM-оборудовании.