Перезавантажити без розшифрування розділів LUKS?

12

Чи є спосіб kexecперезавантажити запущене ядро ​​без розшифровки зашифрованої кореневої файлової системи LUKS?

Я б не уявляв це, але я не впевнений, чи існує рішення для цього.

luks  kexec 
Нафтулі Кей
джерело
Можливо, ви зможете створити другу initramfs із вбудованим файлом ключа, який зберігається у зашифрованому томі. Це хоча б вирішить запит на введення пароля. Так само , як перший відповідь тепер, коли я прочитав це правильно
Том

Відповіді:

2

Якщо моя інша відповідь з якихось причин не відповідає вашим вимогам (наприклад, тому що ви не хочете, щоб файл файлу ключів у вашому томі чи ваш /bootзашифрований), я також можу рекомендувати цей проект: https://github.com/flowztul/keyexec

Зулакіс
джерело
0

Оскільки grub2 підтримує розшифровку томів, зашифрованих LUKS, я вважаю, що ваш /bootрозділ також зашифрований. Це також перешкоджає деяким нападам злих дівчат .

Якщо це так, ви можете сміливо мати ключ, який може розшифрувати гучність всередині ваших програм. Тепер, коли kexec завантажує ваші initramfs у оперативні пам’яті, він зможе розшифрувати ваш розділ під час завантаження нового ядра.

Оскільки в цьому посібнику для налаштування ключового файлу luks всередині initramfs, який також вирішує проблему необхідності ввести ключову фразу двічі (перший у grub, другий при завантаженні initramfs).

Зулакіс
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.