Je leest dan dat je goed moet oppassen om de USB stick niet vergeten uit te loggen. Is er niets iets te bedenken om de administrator te dwingen om de USB uit te nemen?
Ik heb geen ervaring met truecrypt maar op mijn servertje staan een aantal met dm-crypt/LUKS versleutelde partities. Tijdens het booten worden deze gemount waarbij de sleutel op een usbstick staat.
- Ik heb een map aangemaakt in /media genaamd 'usbhd-sdc1'.
- De usb-stick wordt gemount door een regel in /etc/fstab te zetten (bovenaan zodat deze als eerste gemount wordt):
/etc/fstab:
# de usbstick
UUID=0ce435387-0e32-47eb-83434526a97 /media/usbhd-sdc1 ext2 defaults,noatime,nodiratime 0 0
# de versleutelde partitie
/dev/mapper/home /home ext4 defaults,noatime,nodiratime 0 1
(...)
- De versleutelde partitie '/dev/sda3' wordt tijdens het booten met de sleutel geopend:
/etc/crypttab:
home /dev/sda3 /media/usbhd-sdc1/keyfiles/server_-_luks.key
(...)
- Deze stick wordt na het booten automatisch weer ge-unmount.
Dit gebeurt terwijl nog niemand heeft ingelogd in het systeem. Ik gebruik zelf Arch Linux waarbij je dit kunt bereiken door het commando (umount /media/usbhd-sdc1) in /etc/rc.local te zetten, maar voor op Debian gebaseerde distros, zoals Ubuntu is het wat extra werk, zie: https://help.ubuntu.com/community/RcLocalHowto
In de praktijk is het dus: usbstick insteken, server aanzetten en een minuutje laten ratelen, usbstick eruit trekken. Geen inloggen nodig.