> Я имел в виду немного другое: т.к. у нас подключается USB-брелок, то
> физический доступ к устройству у нас есть. Вытаскиваем зашифрованный дискдружище, ты хорошо понимаешь разницу между - пихнуть мелкую флэшку - и вынуть диск из сервера в стойке?
И сам сервер вырубить на пару часиков пока ты этой фигней занимаешься (прямо под камерами).
> Далее непонятно, как отреагирует systemd на подобное, но, судя по приведённой
понятно - там нет никакого race condition, поэтому он либо опознает luks заголовок, и спросит у тебя пароль, либо не опознает и просто выпадет в осадок - без шансов для тебя воспользоваться содержимым tpm.
> цитате, похоже даст рута для восстановления. Если это так, то подключаем
даст да не того рута.
> флешку (доступ к USB-порту у нас есть), с неё перенесём исходное
> содержимое занулённых блоков обратно на диск и инициируем штатный процесс автоматической
> разблокировки зашифрованных дисков. Как-то так.
штатный в этот момент уже не получится.
И в любом случае это уже совсем не то же самое что микроскопическая хрень сунутая в usb порт
(причем всунуть могут заранее, и хрен ты ее увидишь даже при непосредственном доступе к стойке, а сработать оно может и через год)