Удаленный ключ для автоматической расшифровки тома

4

3

Приветствую.

Вопрос теоретического характера, ничего не реализовано и не воплощено в жизнь, просто сбор мнений и анализ возможностей.

Представьте себе ситуацию. Есть сервер с шифрованными томами, при запуске хочется автоматического старта для сервера без запроса пароля.

Сервер сам идет curl-ом к https://keyserv.loc/srv1-token используя plain-auth.
Сам же сервер keyserv.loc пускает к себе в location srv1-token только с адреса сервера srv1.
На сервере ключей keyserv.loc есть telegram бот который дает возможность удалить пароль от тома или приостановить выдачу, а после двух запросов в 1 час вовсе просит подтверждения для выдачи пароля.

С этим кажется все ясно, но как заставить dm-crypt luks брать пароль из выхлопа скрипта, и какие есть на это таймауты?

Велосипед конечно не гарантирует безопасность, возможно есть какие другие решения?

Возможно ли такой метод расширить fail-safe usb? Сервер ключей недоступен, на экране ничего не предлагает ввести, но воткнув чудо usb флешку сервер стартует.

---------------

Где и что почитать, какие есть идеи?

Ссылка

←	фильтр трафика в сети

Как сделать такой dns сервер чтоб ip адреса подменялись при запросе?

→

Скрипт в initramfs.
На чем твоя серверная часть будет, по вкусу, наверное, быстрее всего будет на Python.

pekmop1024 ★★★★★
(12.05.19 16:24:09 MSK)

Ссылка

Но можно, максимально используя уже существующее, утолкать ssh демона в initramfs, а всю логику перенести на серверную часть, которая будет мониторить появление ssh в initramfs (возможно, с port-knocking) и передавать ключ.

pekmop1024 ★★★★★
(12.05.19 16:25:58 MSK)

Ссылка

https://wiki.recompile.se/wiki/Mandos

Pinkbyte ★★★★★
(13.05.19 21:59:33 MSK)

Ответ на: комментарий от Pinkbyte 13.05.19 21:59:33 MSK

Благодарю, выглядит подходяще, в ближайший уикенд пощупаю.

WoozyMasta ★
(13.05.19 23:45:40 MSK) автор топика

Ссылка

Clevis, tang.

anonymous
(14.05.19 04:00:40 MSK)

Ответ на: комментарий от anonymous 14.05.19 04:00:40 MSK

Clevis, tang.

Классная штука, спасибо! Гораздо лучше это использовать, чем скрипты самописные.

WoozyMasta:

На сервере ключей keyserv.loc есть telegram бот который дает возможность удалить пароль от тома или приостановить выдачу, а после двух запросов в 1 час вовсе просит подтверждения для выдачи пароля.

Наверное, можно это реализовать. Посмотри документацию по tang.

Возможно ли такой метод расширить fail-safe usb? Сервер ключей недоступен, на экране ничего не предлагает ввести, но воткнув чудо usb флешку сервер стартует.

Да. Я так делал (правда, без получения пароля по сети, только флешка + пароль).

Harliff ★★★★★
(15.05.19 13:49:07 MSK)