Vlákno názorů k článku Kompletně šifrovaný disk se systémem i daty (Debian) od MP - Me by strasne zajimala funkcnost LUKSu v kombinaci...

17. 11. 2018 12:00

MP (neregistrovaný)

Me by strasne zajimala funkcnost LUKSu v kombinaci s TPM (a preziti aktualizaci firmware, OS apod.) anebo kombinace LUKSu automaticky odemykatelneho po siti.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 11. 2018 12:27

k3dAR

Po siti je princip stejnej, pouze keyfile nebude v initramfa, ale pridas to initrd ssh klienta, ssh klic a ten keyfile nejddriv stahnes....
Akorat v takovem pripade, nemuzes mit sifrovanej /boot, kterej odemykas pres grub, tzn ze i ten initrd by byl na nesifrovanej /boot, takze kdokoliv s pristupem fyzickym by ho mohl upravit, tzn mohl by ti szizit jak ten priv ssh klic, tak ten luks klic na serveru, nebo tam pridal dalsi funkce pro nej, jako keyloger atd...
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 11. 2018 12:34

k3dAR

Castecne se to da resit tak, ze do initrd nedas ssh klienta a priv ssh klic, ale ssh server a public ssh klic, pak muzes bud rucne odemknout vzdakene, nebo to automatizovat, ze server bude v intervalu kontrolovat zda ten sifrovanej stroj neceka v initu...

Porad ale plati ze by initrd byl na nesifrovanem boot a nekdo by ho mohl upravit... pouze se timto znemozni ziskani ssh klice..

Aby to nikdo nemohl upravit, musel bys jadro a initrd dat na server a tahat je pres PXE, pak odemknout timto druhym zpusobem

Dále u nás najdete