有沒有人有一個想法,我怎樣才能製作一個安全的USB密鑰,我將它插入到服務器,並啓動它 - >如果USB密鑰是正確的,那麼Linux會完成啓動 - 我可以在啓動時創建一個腳本,但我沒有一個想法,要把什麼放入USB密鑰,從中讀取...USB密鑰安全 - linux啓動
例如,我可以檢查USB供應商ID - 但這還不夠,我是否可以對USB密鑰(某些隱藏分區或某些內容)進行一些更改,以僅允許此特定USB密鑰存在並允許完成Linux引導。
這是爲了安全,所以如果有人克隆我的服務器,它無法啓動沒有特殊的USB密鑰。
我認爲你的解決方案是在密鑰上有一個PGP簽名,啓動腳本會在啓動之前檢查密鑰是否被正確簽名。
你有一個passkey「pass123」,用一個專用於你的U盤的專用PGP密鑰進行密碼處理,服務器使用公鑰對其進行解密。如果服務器可以將解密後的消息讀取爲「pass123」,那麼它是正確的密鑰。
這種解決方案雖然是隻有一半的安全考慮,如果你有服務器的圖像,你可以修改此腳本和刪除的條件......
然後,我會建議具有硬盤加密,這樣此啓動腳本在解密之前無法更改(並且計算機正在運行)。
雖然我不是一個經驗豐富的驅動器加密用戶,但我不知道如果攻擊者在系統啓動並運行時創建了系統映像,是否繞過此安全性。如果您害怕攻擊者試圖獲取硬盤驅動器,然後將其複製並引導,則它們只會以加密驅動器結束。