Szyfrowany dysk na serwerze z autoodblokowaniem

Cześć,
Mam laptopa, który robi mi za serwer. W BIOS mam funkcję do automatycznego startu po przywróceniu prądu, więc choćby nawet baterii brakło (która swoją drogą robi za UPS) przez długotrwały zanik napięcia w sieci - to finalnie laptop kiedyś wstanie.

Wszystko jest fajnie, tylko mam obawy o dysk. SSD lubią sobie "paść" w kilka tygodni/miesięcy po zakupie. Jeżeli oczekiwałbym wymiany od sprzedawcy - będę musiał odesłać stary. Nie chcę jednak odsyłać czegoś, na czymś mimo braku dostępu - są jakieś moje (czy nawet niemoje) dane.

Pomyślałem o pełnym szyfrowaniu dysku i jakiejś formie automatycznego odblokowywania dysku przy reboocie. To jest stary laptop, nie ma tam żadnego TPM. Myślałem, że może jakaś forma bootowalnego pendrive, który odblokowywałby dysk i kontynuował bootowanie z tego dysku? W takiej sytuacji pendrive z hasłem zostaje u mnie, a sprzedawca dostaje zaszyfrowany, niedziałający dysk z powrotem.

Czy znacie jakieś rozwiązania, by to osiągnąć? A może jeszcze coś innego? Chciałbym, żeby to działało z każdym dyskiem, a nie, że producent X akurat sprzedaje takie rozwiązania działające tylko z jego sprzętem.

Dobrym pomysłem jest kupowanie dysków takich marek które rozumieją że dane są cenne i nie mogą wyjść na zewnątrz. Przykładowo jakiś czas temu jeden gość opisywał, że po kontakcie z samsungiem i poinformowaniu, że dysk ma cenne firmowe dane więc nie może wysłać go do nich ci kazali przesłać mu tylko logi z narzędzi diagnostycznych a po potwierdzeniu problemu przesłali mu instrukcje jak ma zniszczyć dysk i przysłać im zdjęcie potwierdzające to. Po całej akcji dostał nowy dysk w ramach gwarancji.

• tak jak piszesz zewnętrzny/wewnętrzny moduł TPM (czy przez PCIEx czy USB) do składowania klucza
• klucz zaciągany po sieci lokalnej, generalnie z poziomu UEFI przy ethernet dałoby się coś takiego osiągnąć, czy osiągalne z pomocą WiFi?

A najprościej - zrób sobie szyfrowany kontener na VeraCrypt i zapomnij o powyższym.

Jedyna opcja jaka przychodzi mi do głowy to zaszyfrowanie dysku hasłem w BIOS. W przypadku SSD są dyski których kontroler automatycznie szyfruje dane.
https://eu.crucial.com/articles/about-ssd/self-encrypting-ssd-for-data-security
Jeśli więc ktoś wylutuje kość to nie powinien z niej nic odczytać. Chociaż czytałem o przypadkach, że takie szyfrowanie miało być, ale realnie nic pod spodem się nie działo

@loza_prowizoryczna: W sumie kontener VeraCrypt to nie taki głupi pomysł, bo "proste i działa". Gorzej, że dosłownie wszystko musiałbym zapakować w VMki/kontenery, żeby host absolutnie nie miał niczego ciekawego np. w /etc.

@jurek1980: jeżeli w jakikolwiek sposób klucz i dane są na jednym fizycznym urządzeniu, które odsyłam to ja tego nie kupuję.

dzek69 napisał(a):

@loza_prowizoryczna: W sumie kontener VeraCrypt to nie taki głupi pomysł, bo "proste i działa". Gorzej, że dosłownie wszystko musiałbym zapakować w VMki/kontenery, żeby host absolutnie nie miał niczego ciekawego np. w /etc.

Ok, nie doczytałem że to ma być headless, no to chyba tylko coś ala PXE - czy to to by zadziałało z VeraCryptem nie wiem. UEFI mają dużo więcej możliwości więc pewnie ktoś coś wymyśli.