Starten Sie das verschlüsselte System remote ohne Kennwortabfrage neu

Gibt es Standardlösungen für den Remote-Neustart eines verschlüsselten Systems, ohne dass beim nächsten Start ein Kennwort erforderlich ist?

Das fragliche System ist ein mit LUKS-Root-Partition verschlüsseltes Ubuntu und eine unverschlüsselte Boot-Partition.

Die einzige Möglichkeit, die ich mir vorstellen kann, besteht darin, einen zufällig generierten zweiten Schlüssel hinzuzufügen, der auf einer Datei basiert, die auf der Startpartition ruht, und ihn beim Systemstart mit einem Startskript zu entfernen.

Würde der obige Ansatz funktionieren? Oder gibt es eine Standardoption, die keinen manuellen Ansatz erfordert?

Die einzige Sicherheitsimplikation, die ich mir vorstellen kann, ist, dass das System den Start vor dem Start der ersten Dienste fehlschlägt.

Sie können ein initrd mit einem minimalen sshd einrichten (Dropbear fällt mir ein), eine Verbindung herstellen und das Kennwort manuell eingeben. Oder Sie könnten in Mandos schauen . Denken Sie daran, dass wenn jemand physischen Zugriff auf Ihren Server hat und den Startcode ersetzen kann, ohne dass Sie es merken, Sie das Spiel beenden, egal was passiert