请问各位大佬目前linux有什么比较好的系统加密方式？比如只能开机的时候授权才能开机，比如硬盘全盘加密，断电后如果没有密码，无法获得硬盘内的数据。


需求的背景是这样的：老板有需要放3台服务器到合作公司提供资料支持，但担心哪天有些什么问题，硬盘被人拿走拷贝，影响比较大。所以需要把硬盘加密了，最好是服务器没有密码都没法启动，所以想看看大伙有没有比较好的加密方案。但为了方便管理（那边不设置维护人员），最好能够网络授权，或者启动时有一次性授权码，让现场员工输入后可以启动。
--
FROM 120.231.241.*

luks管磁盘加密，secureboot管启动。
这两个方向你可以研究一下。
一次性授权码？听上去很像TOTP的东西。
由于是放在不可信区域的服务器，估计你们另外有备份的了，加密的危险性可以忽略。
【 在 ttaudi 的大作中提到: 】
: 请问各位大佬目前linux有什么比较好的系统加密方式？比如只能开机的时候授权才能开机，比如硬盘全盘加密，断电后如果没有密码，无法获得硬盘内的数据。
: 需求的背景是这样的：老板有需要放3台服务器到合作公司提供资料支持，但担心哪天有些什么问题，硬盘被人拿走拷贝，影响比较大。所以需要把硬盘加密了，最好是服务器没有密码都没法启动，所以想看看大伙有没有比较好的加密方案。但为了方便管理（那边不设置维护人员），最好能
: 够网络授权，或者启动时有一次性授权码，让现场员工输入后可以启动。
: ...................
--
FROM 119.129.53.*

硬盘加密好弄，就是不知道如何解决远程问题，还有就是要加密所有硬盘（包括系统），还是只加密硬盘？

【 在 KeepHope 的大作中提到: 】
: cryptsetup，你说这几个需求应该都能满足，基本所有发行版都自带
--
FROM 120.231.241.*

有没有连系统一起加密的方案，空OS启动然后ssh这个方法不错，就是还能再进一步吗？

【 在 KeepHope 的大作中提到: 】
: 他说可以接受网络授权，所以最省事的做法是，空OS不带luks直接起，然后带核心信息的那部分（cryptsetup luks全盘/全分区加密），让线上的人登进来手工挂载，并启动相应服务
: 或者线上是个脚本定时过来溜达一圈，就不用手工了
:
--
FROM 120.231.241.*

我以为我已经说清楚了……

连OS一起加密也可以，那就最好你用来解密的是单独另外一台不加密且联网的机器，如果服务器带bmc就更便捷了。

而OS不加密，只核心数据和服务放在加密盘，更省事，一台机器就行，OS起来就自动联公网，你可以远程过来手工解密并挂盘，启动服务。

跟BIOS无关，理论上关机拔盘也防住（OS不加密的方式下，别把luks密码留在shell history里就行）

至于公网怎么连，不用一一列出吧？
虚拟私网 或者 f r p 之类的随意选择
【 在 ttaudi 的大作中提到: 】
: 有没有连系统一起加密的方案，空OS启动然后ssh这个方法不错，就是还能再进一步吗？
:
--
FROM 61.48.132.*