Wie Festplatte verschlüsseln für Headless-Host?

[Matthias Böttcher <matthias.boettcher@gmail.com>]

Hallo an alle,

ich stelle mal eine Frage in die Runde, da ich mir unsicher bin, wie ich
die bekannten Technologien miteinander kombiniere. Gegeben ist ein Mini-PC
mit Prozessor Intel N100, der mit Debian im Dauerbetrieb zu Hause laufen
soll. Dienste sind hauptsächlich Apache HTTP Server und MariaDB. Bis dahin
unkompliziert - Trimming, LVM, php-fpm, ssh mit PubkeyAuthentication sowie
Backup mit borg auf einen externen Borg-Server sind mir vertraut.
Betrieben wird das Gerät Headless.

Mein Threat-Modell: Schutz der Vertraulichkeit bei Einbruch und Diebstahl
des Gerätes sowie später unbesorgte Entsorgung der SSD bei Defekt.
Meine Anforderung daher: LUKS für die Festplattenverschlüsselung.

Wie würdet ihr das einrichten? Folgende Ideen gehen mir duch den Kopf:
- Festplatte komplett verschlüsseln? Wie dann aber "aufschließen"?
  Im Headless-Betrieb schwierig.
  Clevis und Tang werden dafür genannt, aber das erscheint mir zu komplex
  und damit zu störanfällig.
- Bestimmte Daemons (Service-Units für php-fpm und mariadb) nicht
  automatisch starten, Volumes (LVs) mit zugehörigen Daten nach dem
  Neustart des Debian "von Hand" (mit Script und Login per ssh) aufschließen
  und mounten mittels Login per ssh, dann die Units starten.
- ...

Vieleicht habt ihr noch weitere Vorschläge, ich würde mich freuen, davon
zu lesen.

Vielen Dank!

	Matthias