Có cách nào để kexec
khởi động lại kernel đang chạy mà không phải giải mã hệ thống tập tin gốc LUKS được mã hóa không?
Tôi tưởng tượng là không, nhưng tôi không chắc có cách giải quyết nào cho việc này không.
Có cách nào để kexec
khởi động lại kernel đang chạy mà không phải giải mã hệ thống tập tin gốc LUKS được mã hóa không?
Tôi tưởng tượng là không, nhưng tôi không chắc có cách giải quyết nào cho việc này không.
Câu trả lời:
Nếu câu trả lời khác của tôi vì một số lý do không đáp ứng yêu cầu của bạn (ví dụ: vì bạn không muốn có khóa phím trên ổ đĩa của bạn hoặc /boot
không được mã hóa), tôi cũng có thể đề xuất dự án này: https://github.com/flowztul/keyexec
Vì grub2 hỗ trợ giải mã các khối được mã hóa LUKS, tôi sẽ cho rằng /boot
phân vùng của bạn cũng được mã hóa. Điều này cũng ngăn chặn một số cuộc tấn công ác nữ .
Nếu đây là trường hợp, bạn có thể có một khóa an toàn có thể giải mã âm lượng bên trong initramfs của bạn. Bây giờ, khi kexec tải initramfs của bạn vào ram, nó sẽ có thể giải mã phân vùng của bạn khi tải kernel mới.
Bởi vì hướng dẫn này để thiết lập một keyfile luks bên trong initramfs, điều này cũng giải quyết vấn đề phải nhập cụm từ khóa hai lần (lần đầu tiên trong grub, lần thứ hai khi initramfs đang tải).