Hi!
Ich würde gerne meine Datenplatte der NAS mit Hilfe von LUKS und einem Keyfile verschlüsseln und die Platte beim Systemstart immer automatisch entschlüsseln lassen.
Das Keyfile würde ich aber gerne NICHT auf USB-Stick oder auf der Systemplatte ablegen, sondern immer von einer Netzwerkfreigabe (Samba) oder von Dropbox, GoogleDrive oder sonst woher laden.
Der Sinn dahinter ist, dass ich dann im Fall der Fälle einfach den Schlüssel in der Dropbox löschen kann und der "neue Besitzer" der Hardware guckt in die Röhre.
Ist dies überhaupt möglich?
Weil in der /etc/crypttab kann man ja wohl nur lokale Pfade für das Keyfile angeben. Und beim Mappen der Platte über die Crypttab müsste ja auch schon das Netzwerk vollständig verfügbar sein.
Macht es eventuell mehr Sinn, wenn ich mir ein Script in if-post-up.d lege, welches nach dem Hochfahren des Netzwerkes den Schlüssel lädt und das ganze cryptsetup Zeugs erledigt?
Am besten ist es dann wohl, wenn ich das Keyfile in eine kleine tmpfs Partition schreibe, oder?
Hmmmm... eigentlich müsste ich mir dann sogar noch einen Cronjob anlegen, welcher bei nicht eingebundener Datenplatte alle 5 Minuten versucht, den Schlüssel zu laden. Denn eventuell ist ja gerade einmal die Internetverbindung weg, wenn ich den Rechner starte.
Wie würdet ihr das denn so machen?
Gruß Thorsten