サーバに保管されてる情報を奪取するために電算室に物理で侵入して写真を撮る回 #存在する回
物理攻撃から守る側としては通信とディスクの暗号化をしておく必要があるのかしら。ディスク暗号化は鍵をどう保管するのかも考えないとよね(リモートのマシンだとluksみたいには行かないよな…)
@zundan 小さなssh実装のdropbearをinitramfsに組み込んでリモート経由でdm-cryptをunlockする手も
以前は設定が面倒でしたがDebian系ならdropbear-initramfsというパッケージができ簡単になりました
@matoken なるほどー!! 便利になってるんですねえ
@zundan ちなみに計画的な再起動だとその時限りのパスフレーズを付与して再起動出来るツールなんてものもあって便利だったりします(セキュリティが気になるので自宅端末で使ってます)
Mark Collins / passless-reboot · GitLab https://gitlab.com/Marcool04/passless-boot
GitLabMark Collins / passless-reboot · GitLabOne-time password-less reboot on LUKS encrypted-root machine
@zundan そしてタブレットに何も考えずdm-crypt設定してキーボード持ち運ばないとアンロックできないなと少し悩んだときのスライドがこちら……
タブレットLinuxで暗号化ファイルシステム(dm-crypt)をアンロック - Speaker Deck https://speakerdeck.com/matoken/unlock-encrypted-file-system-dm-crypt-on-tablet-linux
Speaker DeckタブレットLinuxで暗号化ファイルシステム(dm-crypt)をアンロック