Możliwe, że możesz utworzyć drugi plik initramfs z osadzonym plikiem klucza, który jest przechowywany na zaszyfrowanym woluminie. To przynajmniej rozwiązałoby pytanie o hasło. Tak jak pierwsza odpowiedź teraz, kiedy przeczytałem ją poprawnie
tom
Odpowiedzi:
2
Jeśli moja inna odpowiedź z jakiegoś powodu nie spełnia twoich wymagań (np. Ponieważ nie chcesz pliku klucza na woluminie lub twój /bootplik nie jest zaszyfrowany), mogę również polecić ten projekt: https://github.com/flowztul/keyexec
Ponieważ grub2 obsługuje odszyfrowywanie woluminów zaszyfrowanych przez LUKS, założę się, że twoja /bootpartycja również jest zaszyfrowana. To również udaremnia niektóre ataki złej pokojówki .
W takim przypadku możesz bezpiecznie mieć klucz, który może odszyfrować wolumin wewnątrz twoich initramfs. Teraz, kiedy kexec ładuje pliki initramfs do pamięci RAM, będzie mógł odszyfrować partycję podczas ładowania nowego jądra.
Ponieważ ten przewodnik do ustawiania pliku kluczy Luksa wewnątrz initramfs, który rozwiązuje również problem konieczności dwukrotnego wpisywania frazy (najpierw w grub, drugi, gdy ładuje się initramfs).
Odpowiedzi:
Jeśli moja inna odpowiedź z jakiegoś powodu nie spełnia twoich wymagań (np. Ponieważ nie chcesz pliku klucza na woluminie lub twój
/boot
plik nie jest zaszyfrowany), mogę również polecić ten projekt: https://github.com/flowztul/keyexecźródło
Ponieważ grub2 obsługuje odszyfrowywanie woluminów zaszyfrowanych przez LUKS, założę się, że twoja
/boot
partycja również jest zaszyfrowana. To również udaremnia niektóre ataki złej pokojówki .W takim przypadku możesz bezpiecznie mieć klucz, który może odszyfrować wolumin wewnątrz twoich initramfs. Teraz, kiedy kexec ładuje pliki initramfs do pamięci RAM, będzie mógł odszyfrować partycję podczas ładowania nowego jądra.
Ponieważ ten przewodnik do ustawiania pliku kluczy Luksa wewnątrz initramfs, który rozwiązuje również problem konieczności dwukrotnego wpisywania frazy (najpierw w grub, drugi, gdy ładuje się initramfs).
źródło