Khởi động lại mà không phải giải mã phân vùng LUKS?


12

Có cách nào để kexeckhởi động lại kernel đang chạy mà không phải giải mã hệ thống tập tin gốc LUKS được mã hóa không?

Tôi tưởng tượng là không, nhưng tôi không chắc có cách giải quyết nào cho việc này không.


Bạn có thể tạo một initramfs thứ hai với tệp khóa nhúng được lưu trữ trên ổ đĩa được mã hóa. Điều này ít nhất sẽ giải quyết kịp thời mật khẩu. Giống như câu trả lời đầu tiên bây giờ tôi đã đọc đúng
tom

Câu trả lời:


2

Nếu câu trả lời khác của tôi vì một số lý do không đáp ứng yêu cầu của bạn (ví dụ: vì bạn không muốn có khóa phím trên ổ đĩa của bạn hoặc /bootkhông được mã hóa), tôi cũng có thể đề xuất dự án này: https://github.com/flowztul/keyexec


0

Vì grub2 hỗ trợ giải mã các khối được mã hóa LUKS, tôi sẽ cho rằng /bootphân vùng của bạn cũng được mã hóa. Điều này cũng ngăn chặn một số cuộc tấn công ác nữ .

Nếu đây là trường hợp, bạn có thể có một khóa an toàn có thể giải mã âm lượng bên trong initramfs của bạn. Bây giờ, khi kexec tải initramfs của bạn vào ram, nó sẽ có thể giải mã phân vùng của bạn khi tải kernel mới.

Bởi vì hướng dẫn này để thiết lập một keyfile luks bên trong initramfs, điều này cũng giải quyết vấn đề phải nhập cụm từ khóa hai lần (lần đầu tiên trong grub, lần thứ hai khi initramfs đang tải).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.