J'aimerais qu'un répertoire eCryptfs soit "monté de manière sécurisée" automatiquement au démarrage sans se connecter. Mon scénario est le suivant: J'ai un serveur ArchLinux intégré (basé sur ARM) qui utilise une carte microSD amovible pour le stockage persistant et le système de fichiers.
J'aimerais disposer d'un répertoire crypté sur la carte microSD afin que, si quelqu'un découvre la carte microSD et tente de la copier, il ne puisse pas accéder aux fichiers du répertoire crypté.
Ma pensée était la suivante:
Utilisation dmidecode
pour obtenir l'ID et "l'empreinte matérielle" d'un serveur et utiliser un hachage du dmidecode
sortie comme phrase secrète pour chiffrer le répertoire.
Donc ce que je veux faire est, au démarrage, avoir dmidecode
extraire les informations, les hacher, puis utiliser eCryptfs pour effectuer un montage automatique en utilisant le hachage comme phrase secrète.
Ainsi, la phrase secrète n'est stockée nulle part, elle est tirée au démarrage et utilisée pour la déverrouiller. La faiblesse évidente est que quelqu'un qui regarde la séquence de démarrage peut voir comment cela fonctionne, puis obtenir la phrase secrète en ayant un accès physique au serveur. Dans la mesure où il est spécifique au serveur (en supposant un numéro de série unique pour le processeur), ils ne peuvent pas obtenir un matériel de serveur intégré similaire, il leur faudrait donc celui lié à la carte microSD spécifique.
Il s'agit principalement de dissuader quelqu'un de voler la carte microSD (mais pas le serveur intégré) et de le copier.
Je suppose que ma question fondamentale est la suivante: comment puis-je ajouter ceci à la séquence de démarrage? J'utilise Arch Linux v3 sur du matériel basé sur ARM.
dmidecode
est dehors. Je suis intéressé à savoir s'il existe un numéro de matériel unique spécifique à un périphérique que je pourrais utiliser pour cela.