Приветствую.

Вопрос теоретического характера, ничего не реализовано и не воплощено в жизнь, просто сбор мнений и анализ возможностей.

Представьте себе ситуацию. Есть сервер с шифрованными томами, при запуске хочется автоматического старта для сервера без запроса пароля.

• Сервер сам идет curl-ом к keyserv.loc/srv1-token используя plain-auth.
  
• Сам же сервер keyserv.loc пускает к себе в location srv1-token только с адреса сервера srv1.
  
• На сервере ключей keyserv.loc есть telegram бот который дает возможность удалить пароль от тома или приостановить выдачу, а после двух запросов в 1 час вовсе просит подтверждения для выдачи пароля.
  

С этим кажется все ясно, но как заставить dm-crypt luks брать пароль из выхлопа скрипта, и какие есть на это таймауты?

Велосипед конечно не гарантирует безопасность, возможно есть какие другие решения?

Возможно ли такой метод расширить fail-safe usb? Сервер ключей недоступен, на экране ничего не предлагает ввести, но воткнув чудо usb флешку сервер стартует.

---------------

Где и что почитать, какие есть идеи?

 bash, dm-crypt, luks, параноиков тред