有没有人知道,我如何制作一个安全的USB密钥,我将其插入服务器,并启动它 - >如果USB密钥是正确的,那么linux将完成启动 - 我可以在启动时创建一个脚本,但我不知道什么,放入USB密钥,读取...
例如,我可以检查USB供应商ID - 但这还不够,我可以对USB密钥(一些隐藏的分区或某些东西)进行一些更改,只允许存在这个特定的USB密钥并允许complet linux启动。
这是为了安全,所以如果有人克隆了我的服务器,它就无法在没有特殊USB密钥的情况下启动。
答案 0 :(得分:1)
我认为您的解决方案是在密钥上使用PGP签名,启动脚本会在启动前检查密钥是否已正确签名。
你有一个密钥" pass123",用一个专用于你的USB记忆棒的私人PGP密钥加密它,服务器用公钥对其进行解密。如果服务器可以将解密后的消息读作" pass123",那么它就是正确的密钥。
这个解决方案只有一半是安全的,考虑到如果你有服务器的图像,你可以修改这个脚本并删除条件......
然后我会建议加密硬盘驱动器,以便在解密之前(并且计算机正在运行)不能更改此启动脚本。
我不是一个经验丰富的驱动加密用户,但是如果攻击者在系统已经启动并运行时制作了系统映像,我就不知道是否绕过了此安全性。如果您害怕攻击者试图检索硬盘驱动器,然后克隆它然后启动它,它们最终只能使用加密驱动器。