Czy istnieje sposób na kexec
ponowne uruchomienie działającego jądra bez konieczności odszyfrowywania zaszyfrowanego systemu plików LUKS?
Wyobrażam sobie, że nie, ale nie jestem pewien, czy istnieje obejście tego problemu.
Czy istnieje sposób na kexec
ponowne uruchomienie działającego jądra bez konieczności odszyfrowywania zaszyfrowanego systemu plików LUKS?
Wyobrażam sobie, że nie, ale nie jestem pewien, czy istnieje obejście tego problemu.
Odpowiedzi:
Jeśli moja inna odpowiedź z jakiegoś powodu nie spełnia twoich wymagań (np. Ponieważ nie chcesz pliku klucza na woluminie lub twój /boot
plik nie jest zaszyfrowany), mogę również polecić ten projekt: https://github.com/flowztul/keyexec
Ponieważ grub2 obsługuje odszyfrowywanie woluminów zaszyfrowanych przez LUKS, założę się, że twoja /boot
partycja również jest zaszyfrowana. To również udaremnia niektóre ataki złej pokojówki .
W takim przypadku możesz bezpiecznie mieć klucz, który może odszyfrować wolumin wewnątrz twoich initramfs. Teraz, kiedy kexec ładuje pliki initramfs do pamięci RAM, będzie mógł odszyfrować partycję podczas ładowania nowego jądra.
Ponieważ ten przewodnik do ustawiania pliku kluczy Luksa wewnątrz initramfs, który rozwiązuje również problem konieczności dwukrotnego wpisywania frazy (najpierw w grub, drugi, gdy ładuje się initramfs).