Hallo zusammen.
Total "OT", aber vielleicht hat ja einer eine Idee / sowas schon mal gesehen.
Ich kann's nicht g**glen, weil immer nur Ansätze mit "USB Stick" und "Keyfile" dabei raus kommen. Will ich aber nicht ;-)
Was will ich? Home Server für den Fall des Hardware-klaus sichern. Dieb kommt, nimmt einfach den NUC mit, SSDs darin sind aktuell unverschlüsselt. Wenn ich das umbaue auf volle Verschlüsselung soll die Kiste ohne SSH-Login booten & entschlüsseln, sofern ein bestimmtes USB-Device dran steckt. Kein USB-Speicher-Stick mit Key-File, sondern ein Stück "unrelated hardware".
- Ich habe für's Smarthome "controller sticks" (zigbee & homematic RF). Der eine hängt wegen besserer Sendeleistung aus dem Keller an einer simplen passiven USB-Verlängerung und seine Antenne steckt in einem Deckendurchbruch (Betondecken...). Fragt nicht, hat sich so ergeben, funktioniert seit Jahren.
- Nun würde ich den Stick da einfach "festdübeln" (nein, natürlich kein Loch in die Platine bohren...Profi am Werk, hier ;-)) . Den Stick nimmt dann sicher kein Dieb in Eile mit indem er erst Schrauben aus der Wand dreht.
- Der Stick ist aber kein normaler USB-Speicher, also kann ich kein Keyfile drauf legen.
- Also denk' ich mir: Ich müsste doch nur die Seriennummer des USB-Sticks als Key in einen "Slot" von luks/cryptsetup schreiben (wo man sonst einen key rein schreibt).
- Dann mit einem script im initramfs mit ein bissel Magie aus "lsusb", "grep", "/bin/udevadm info" die Seriennummer des Sticks zur Boot-Zeit auslesen und als key an die Partitionen übergeben.
- Die gewünschte Seriennummer selbst steht nirgends, nicht mal in dem script, ich schreibe sie nur einmal händisch beim Setup der Partitionen in den entsprechenden Slot.
- Der Dieb kann also allein anhand des Unlock-Sripts nur verstehen, was es tut... und wenn er's kapiert, müsste er wiederkommen und den Stick von der Wand schrauben. Wohl kaum
Ist sowas schon mal jemandem über den Weg gelaufen?
PS: Klar, ich könnte auch den NUC an der Wand festschrauben... aber da macht sich vielleicht einer die Mühe 4 Bolzen rauszudrehen, weil er denkt: Mensch, wenn das so gesichert ist, ist das erst recht wertvoll. Beim Antennen-Stick: Okay, aha, naja, smarthome-Antennen-Gedöns, keine 3 Euro wert. Kabel ab, NUC mitnehmen, aber den Stick doch nicht...
Total "OT", aber vielleicht hat ja einer eine Idee / sowas schon mal gesehen.
Ich kann's nicht g**glen, weil immer nur Ansätze mit "USB Stick" und "Keyfile" dabei raus kommen. Will ich aber nicht ;-)
Was will ich? Home Server für den Fall des Hardware-klaus sichern. Dieb kommt, nimmt einfach den NUC mit, SSDs darin sind aktuell unverschlüsselt. Wenn ich das umbaue auf volle Verschlüsselung soll die Kiste ohne SSH-Login booten & entschlüsseln, sofern ein bestimmtes USB-Device dran steckt. Kein USB-Speicher-Stick mit Key-File, sondern ein Stück "unrelated hardware".
- Ich habe für's Smarthome "controller sticks" (zigbee & homematic RF). Der eine hängt wegen besserer Sendeleistung aus dem Keller an einer simplen passiven USB-Verlängerung und seine Antenne steckt in einem Deckendurchbruch (Betondecken...). Fragt nicht, hat sich so ergeben, funktioniert seit Jahren.
- Nun würde ich den Stick da einfach "festdübeln" (nein, natürlich kein Loch in die Platine bohren...Profi am Werk, hier ;-)) . Den Stick nimmt dann sicher kein Dieb in Eile mit indem er erst Schrauben aus der Wand dreht.
- Der Stick ist aber kein normaler USB-Speicher, also kann ich kein Keyfile drauf legen.
- Also denk' ich mir: Ich müsste doch nur die Seriennummer des USB-Sticks als Key in einen "Slot" von luks/cryptsetup schreiben (wo man sonst einen key rein schreibt).
- Dann mit einem script im initramfs mit ein bissel Magie aus "lsusb", "grep", "/bin/udevadm info" die Seriennummer des Sticks zur Boot-Zeit auslesen und als key an die Partitionen übergeben.
- Die gewünschte Seriennummer selbst steht nirgends, nicht mal in dem script, ich schreibe sie nur einmal händisch beim Setup der Partitionen in den entsprechenden Slot.
- Der Dieb kann also allein anhand des Unlock-Sripts nur verstehen, was es tut... und wenn er's kapiert, müsste er wiederkommen und den Stick von der Wand schrauben. Wohl kaum
Ist sowas schon mal jemandem über den Weg gelaufen?
PS: Klar, ich könnte auch den NUC an der Wand festschrauben... aber da macht sich vielleicht einer die Mühe 4 Bolzen rauszudrehen, weil er denkt: Mensch, wenn das so gesichert ist, ist das erst recht wertvoll. Beim Antennen-Stick: Okay, aha, naja, smarthome-Antennen-Gedöns, keine 3 Euro wert. Kabel ab, NUC mitnehmen, aber den Stick doch nicht...
