Zrestartować bez konieczności deszyfrowania partycji LUKS?


12

Czy istnieje sposób na kexecponowne uruchomienie działającego jądra bez konieczności odszyfrowywania zaszyfrowanego systemu plików LUKS?

Wyobrażam sobie, że nie, ale nie jestem pewien, czy istnieje obejście tego problemu.


Możliwe, że możesz utworzyć drugi plik initramfs z osadzonym plikiem klucza, który jest przechowywany na zaszyfrowanym woluminie. To przynajmniej rozwiązałoby pytanie o hasło. Tak jak pierwsza odpowiedź teraz, kiedy przeczytałem ją poprawnie
tom

Odpowiedzi:


2

Jeśli moja inna odpowiedź z jakiegoś powodu nie spełnia twoich wymagań (np. Ponieważ nie chcesz pliku klucza na woluminie lub twój /bootplik nie jest zaszyfrowany), mogę również polecić ten projekt: https://github.com/flowztul/keyexec


0

Ponieważ grub2 obsługuje odszyfrowywanie woluminów zaszyfrowanych przez LUKS, założę się, że twoja /bootpartycja również jest zaszyfrowana. To również udaremnia niektóre ataki złej pokojówki .

W takim przypadku możesz bezpiecznie mieć klucz, który może odszyfrować wolumin wewnątrz twoich initramfs. Teraz, kiedy kexec ładuje pliki initramfs do pamięci RAM, będzie mógł odszyfrować partycję podczas ładowania nowego jądra.

Ponieważ ten przewodnik do ustawiania pliku kluczy Luksa wewnątrz initramfs, który rozwiązuje również problem konieczności dwukrotnego wpisywania frazy (najpierw w grub, drugi, gdy ładuje się initramfs).

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.