问题[disk-encryption](server)

我正在安装 Debian，因为我已经完成了一百万次，除了这次我尝试从安装本身进行全盘加密并手动分区，因为我正在替换一个现有的 Linux 分区（不同的发行版）带有我不想弄乱的各种神秘分区的磁盘。无论如何，我只需要一个分区来进行此安装，我将用 Debian 替换其以前的 Linux 发行版。

但是，我似乎只能在配置加密之前将目标分区（/dev/nvme0n1p5）设置为根分区（/），但是一旦设置了加密，我就发现自己无法将其设置为根分区。因此，我无法完成分区，因为安装程序不会让我在不定义根分区的情况下继续前进。

所以这有点像第 22 条规则。配置加密会删除根分区设置，但我无法将加密分区设置为根分区。

不确定我是否遗漏了什么，或者这只是安装程序中的某种错误。

我想在云服务器上运行一些机密程序。为了保护它不被复制，我可以将它加密到驱动器中并安装解密的驱动器来运行它。但是，一旦解密驱动器在内存中设置运行，我想卸载它以最小化解密的时间窗口。

有可能这样做吗？或者Linux锁定这个驱动程序运行的程序？

类似的情况是在驱动器上运行程序，然后卸载该驱动器。

我有 Win Server 2012，并且连接到它的 HDD 之一的驱动器被映射为 Windows 10 客户端中的网络驱动器。如果我使用客户端上的用户帐户使用 bitlocker 加密这些驱动器，服务器上的管理员帐户是否也可以访问它？我希望两台机器上的两个用户都能访问加密的内容，怎么可能呢？

如何查看是否已设置 TPM 所有者？所有看到的都是如何清除 TPM、重置所有者密码、更改所有者的示例。我只是想看看所有者是否已设置以及可能设置为谁。在 tpm.msc 中查看是否有所有者集对我来说并不明显。

这可能吗？我如何知道是否在 Windows 中的 tpm 上设置了所有者？

我在 Debian 8.4 上使用固件 RAID（RSTe 4.0，英特尔® C612 芯片组）在 RAID5 设置中有三个 HDD（希捷 ST4000NM0053）。它们是 SED，所以我想设置 ATA 密码。不幸的是，我的主板 ( http://www.supermicro.com/products/motherboard/Xeon/C600/X10DRT-HIBF.cfm ) BIOS 不支持它。相反，它会在启动时执行“安全冻结”。

我已经设法通过热插拔驱动器来解冻驱动器，然后我尝试使用 hdparm 设置 ATA 密码，但它似乎没有坚持。我也没有收到任何错误消息：

hdparm --user-master m --security-set-pass 'MyPassword' /dev/sdb

hdparm -I /dev/sdb

...显示磁盘“未启用”。

有些人设法暂时挂起计算机以达到与热插拔相同的效果，但我只能使用 rtcwake 挂起到“磁盘”或“冻结”，这两种方法似乎都没有帮助。

现在 RAID 系统显示为空，即使我只是尝试设置 KEK，而不是 MEK。按照以下文章的建议使用 Ubuntu Live CD 无效（暂停实时操作系统崩溃）：https ://www.pugetsystems.com/labs/articles/Introduction-to-Self-Encrypting-Drives-SED-557/

Supermicro 技术支持表示“客户需要通过软件（而不是通过 BIOS）设置 SED。”

其他人有类似设置的经验吗？

我在尝试时收到“此密码没有可用的密钥。 ”：

sudo cryptsetup open --type luks /dev/sdc storage --key-file=/path/to/keyfile

该/path/to/keyfile文件仅包含纯文本密码。

如果我在交互询问时输入相同的密码：

sudo cryptsetup open --type luks /dev/sdc storage

然后它工作。

为什么--key-file在这种情况下不起作用？这是 Ubuntu 14.04 @ Linux 3.13.0-68。

我有一台只能远程访问的服务器。本周早些时候，我将 2 磁盘 raid 重新分区如下：

Filesystem            Size  Used Avail Use% Mounted on
/dev/mapper/sda1_crypt
                      363G  1.8G  343G   1% /
tmpfs                 2.0G     0  2.0G   0% /lib/init/rw
udev                  2.0G  140K  2.0G   1% /dev
tmpfs                 2.0G     0  2.0G   0% /dev/shm
/dev/sda5             461M   26M  412M   6% /boot
/dev/sda7             179G  8.6G  162G   6% /data

突袭由 2 个 300gb SAS 15k 磁盘组成。

在我进行更改之前，它被用作单个未加密的根分区，并且 hdparm -t /dev/sda 给出的读数约为 240mb/s，如果我现在这样做，我仍然可以得到：

/dev/sda:
Timing buffered disk reads: 730 MB in  3.00 seconds = 243.06 MB/sec

由于重新分区和加密，我在单独的分区上得到以下信息：

未加密的 /dev/sda7：

/dev/sda7:
Timing buffered disk reads: 540 MB in  3.00 seconds = 179.78 MB/sec

未加密的 /dev/sda5：

/dev/sda5:
Timing buffered disk reads: 476 MB in  2.55 seconds = 186.86 MB/sec

加密/dev/mapper/sda1_crypt:

/dev/mapper/sda1_crypt:
Timing buffered disk reads: 150 MB in  3.03 seconds =  49.54 MB/sec

我预计加密分区的性能会下降，但不会下降那么多，但我根本没想到其他分区的性能会下降。

服务器中的其他硬件是：

2 x 四核 Intel(R) Xeon(R) CPU E5405 @ 2.00GHz 和 4gb RAM

$ cat /proc/scsi/scsi            
Attached devices:
Host: scsi0 Channel: 00 Id: 32 Lun: 00
  Vendor: DP       Model: BACKPLANE        Rev: 1.05
  Type:   Enclosure                        ANSI  SCSI revision: 05
Host: scsi0 Channel: 02 Id: 00 Lun: 00
  Vendor: DELL     Model: PERC 6/i         Rev: 1.11
  Type:   Direct-Access                    ANSI  SCSI revision: 05
Host: scsi1 Channel: 00 Id: 00 Lun: 00
  Vendor: HL-DT-ST Model: CD-ROM GCR-8240N Rev: 1.10
  Type:   CD-ROM                           ANSI  SCSI revision: 05

我猜这意味着服务器有一个 PERC 6/i RAID 控制器？

加密是在 debian 6 安装期间使用默认设置完成的。我不记得确切的细节，也不确定如何找到它们？

谢谢

更新：

好吧，看来我是在不知道所有细节的情况下跳进去重新分区和加密的。该磁盘确实需要加密。

我现在知道分区应该用磁盘末尾的加密分区重新排序。

任何人都可以给我一些关于具有良好性能/安全平衡的磁盘加密方案的建议，或者指出我已经完成的任何类型的基准测试的方向吗？

我有一点谷歌，但我没有找到太多有用的东西。似乎较旧的 Xeons 不符合 AES 磁盘加密。

我用一个 Intel(R) Xeon(R) CPU X3430 @ 2.40GHz 检查了另一台服务器，它们仍然保持 87mb/s，在典型的单个 SATA 驱动器上使用完全相同的加密方案，在没有加密的情况下最大速度为 107mb/s。

我仍在调查 fio，似乎不是那么简单。给出的大多数示例都是针对随机访问的，这不是我所追求的。我需要大文件的原始吞吐量。

假设您有一台计算机，其系统驱动器由 BitLocker 加密，并且您没有使用 PIN，因此计算机将在无人值守的情况下启动。如果攻击者将系统引导至 Windows 预安装环境会怎样？他们可以访问加密驱动器吗？

如果您有 TPM 与仅使用 USB 启动密钥相比，它会改变吗？

我要确定的是 TPM / USB 启动密钥是否可以在不从原始操作系统启动的情况下使用。换句话说，如果您使用 USB 启动密钥并且机器正常重启，那么除非攻击者能够登录，否则数据仍将受到保护。但是如果黑客只是将服务器启动到 Windows 预安装环境中插入的 USB 启动密钥？然后他们可以访问数据吗？还是需要恢复密钥？

理想情况下，像这样启动时需要恢复密钥，但我没有在任何地方看到这个记录。

我想做一些非常偏执的事情，但我不确定它是否至少可以轻松完成......让我们看看我是否可以正确解释：

我有一台运行 debian 的服务器（可以更改为任何其他 dist，但 debian 是我觉得更舒服的那个）。我想加密磁盘，将文件挂载为 FS 或任何不介意的东西。

该服务器将仅通过 sftp 的安全连接 scp 进行远程连接。我想将主页设置为这个加密磁盘，并且我希望只允许通过 ssh/sftp 系统查看加密文件到已记录的文件。这些文件将通过 ssh 传输到用户计算机，因此它们将保持加密状态。

我不介意是否必须进行两步身份验证，一步用于 ssh，另一步用于加密，但我需要它是私密和安全的。正如您可以想象的那样，这个想法是在托管服务器中拥有一个公司远程存储库。这些数据非常敏感，所以我们要偏执。

任何想法？我正在寻找错误的方向？

像往常一样，我非常感谢您的支持。

作为具有敏感信息的 SaaS 提供商，我们考虑加密文件系统（在 Linux 下），但是如果文件系统崩溃，性能或维护是否有任何问题？我们想在 Mysql 服务器上将它用于具有中等负载但访问者访问量高的 Web 应用程序。

谢谢，
问候
塞德里克