Приветствую.
Вопрос теоретического характера, ничего не реализовано и не воплощено в жизнь, просто сбор мнений и анализ возможностей.
Представьте себе ситуацию. Есть сервер с шифрованными томами, при запуске хочется автоматического старта для сервера без запроса пароля.
- Сервер сам идет curl-ом к
keyserv.loc/srv1-tokenиспользуя plain-auth.
- Сам же сервер keyserv.loc пускает к себе в
location srv1-tokenтолько с адреса сервера srv1.
- На сервере ключей keyserv.loc есть telegram бот который дает возможность удалить пароль от тома или приостановить выдачу, а после двух запросов в 1 час вовсе просит подтверждения для выдачи пароля.
С этим кажется все ясно, но как заставить dm-crypt luks брать пароль из выхлопа скрипта, и какие есть на это таймауты?
Велосипед конечно не гарантирует безопасность, возможно есть какие другие решения?
Возможно ли такой метод расширить fail-safe usb? Сервер ключей недоступен, на экране ничего не предлагает ввести, но воткнув чудо usb флешку сервер стартует.
---------------
Где и что почитать, какие есть идеи?