42 - [´・ω・`] 185.213.154.233 2023/11/04(土) 23:16:32.93 ID:q2ZxOoCy0
Linuxでファイルサーバーを動かしているのですが、ファイルシステムの暗号化はどのようにすべきでしょうか?
現状はOSドライブはLUKSで暗号化して、Initramfsに埋め込んだSSH経由でロックを解除し、データドライブはLUKSで暗号化した上でTPM2.0に暗号化キーを入れています(clevis使用)
こうすることで、再起動する度にOSドライブとデータドライブの2回パスワードを入力する手間が省けると同時に、OSドライブの解錠パスワードが割られない限りはデータドライブも解錠されないと解釈しています(間違っていたら教えてください)
OSドライブもTPMに暗号化キーを入れて、起動すれば全自動でロック解除されるようにしてしまって差し支えないのか、それともデータドライブの暗号鍵をTPM2.0に入れるのは危険でありTPMを一切使用すべきではないのか、ご教示いただけると助かります