Как я предоставляю доступ IUSR в домене?

Стоило бы свериться с хостом, чтобы видеть, могут ли они или поднять трубку IP KVM или установить карту удаленного доступа (IPMI, МОТ HP, iDRAC, или RAS как соответствующую) для обеспечения зашифрованного удаленного терминала.

С любым решением FDE у Вас должна будет обязательно быть незашифрованная системная начальная загрузка. Как минимум это будет состоять из MBR, загрузчика, ядра и initrd.

Возможно объединиться в сеть, включают систему начальной загрузки FDE при помощи чего-то как Mandos или использование всей установки ОС и затем переключение на реальную ОС путем удаленного запущения пользовательских скриптов, которые используют питание pivot_root, chroot (или kexec) после cryptsetup и монтируются.

Используя Xen и наличие VM с зашифрованным устройством хранения данных подобно использованию всей ОС для начальной загрузки, но с менее слоняющимся без дела и более легким обслуживанием. Единственный недостаток в этом подходе является виртуализацией наверху.

Подход блочного устройства (LV, раздел или обратная петля), конечно, легок начаться, особенно при попытке внести изменение в производственной системе.

Теперь часть совета: Если можно получить доступ удаленного терминала (полный KVM, не последовательный), и Вы создаете новую машину, то пойдите с FDE. Все текущие дистрибутивы поддерживают его в установщике, и это будет наименьшее количество опции обслуживания.

Иначе:

• Даже не собирайтесь использовать FDE. Система начальной загрузки удаленного доступа просто будет слишком хрупка, и когда она повредится, это будет кошмар для фиксации. Не пытайтесь преобразовать живую систему на лету, если Вы действительно действительно действительно не знаете то, что Вы делаете.

• Если Вы создаете новую машину для этого обновления безопасности, и виртуализация наверху приемлема, то пойдите для подхода 2. Это будет самая нормальная опция для себя и любого другого будущего системного администратора для понимания/поддержания. С этим подходом можно использовать ОС, обеспеченную шифрование установщика в VM вместо того, чтобы шифровать устройство хранения данных на хосте, если Вы хотите (про / недостатки к обоим подходам wrt к обслуживанию/миграции/и т.д.).

• Если необходимо внести это изменение в производственной системе (против которого я настоятельно рекомендую. Заставьте клиент заплатить за надлежащую миграцию со второй системой), затем пойдите с подходом 3 и используйте отформатированное блочное устройство LUKS (предпочтительно логический том).

• Согласно любому из этих сценариев, основная система или код начальной загрузки могут, очевидно, быть trojaned так, чтобы ключ шифрования был показан. Не тратьте впустую свое время, пытаясь снизить этот риск, если у Вас нет большого количества времени на Ваших руках, и у Вашего клиента есть деньги для записи. Если бы действительно необходимо смягчить его, то Вы хотели бы установить что-то как Osiris.

Сохраните подсознательно, что данные будут настолько более подверженными риску от программных ошибок, систем резервного копирования, неверной конфигурации, неверных паролей, и т.д.