Linux が暗号化された LVM にインストールされている場合、Linux の起動時にパスフレーズを要求する特別なプログラムがロードされますが、特別なプログラムが Microsoft Windows のウイルスに感染したり、変更されたりして、パスフレーズが Windows パーティションのどこかに送信された場合、セキュリティ上の問題が発生する可能性があります。ただし、パスフレーズ プログラムを USB スティックにインストールすると、ハード ドライブよりも隔離されるため、はるかに安全です。Linux にログインできるパスフレーズを入力するための起動可能な USB を作成する方法を知りたいです。
答え1
あなたが言及している特別なプログラムは、Linux カーネルの initramfs 内にあります。initramfs には、実際の / ファイルシステムをマウントするために必要な追加の機能を備えた一時的な / ファイルシステムが含まれています。あなたの場合、その中には、cryptsetup ツールとパスフレーズを取得するためのスクリプト (特別なプログラム) が含まれています。
したがって、目的を達成するには、基本的に USB ディスクをシステムの /boot パーティションにする必要があります。/boot には、Linux カーネル、initramfs、GRUB2 stage2 などが含まれます。
明確に言うと、内部ディスクから起動しますが、GRUB2 が再インストールされ、構成、その他のステージ、カーネルが USB ディスクからロードされます。プロセスは以下に示されていますが、開始する前に、LiveCD/USB ドライブなど、システムにアクセスする別の方法があることを確認してください。このプロセスにより、Linux のロード方法が変更され、うまくいかない場合は、プラン B なしで困った状況に陥ることになります。
fdisk /dev/sdX(sdX は USB ディスク)を使用して、USB ディスク上にパーティションを作成します。- 前述のパーティションを Linux ファイルシステム (ext2、3、4 など) でフォーマットします。例:
mkfs.ext3 /dev/sdX1 - 既存の /boot のバックアップを取ってください。これは重要なので、念には念を入れましょう。たとえば、
pushd /boot; tar -cvzf /root/boot-backup.tar.gz .; popd - 新しいファイルシステムをどこかにマウントし、現在の /boot の内容をそこにコピーします。
- 新しいファイルシステムをアンマウントし、新しい /boot として再マウントし、その際に /etc/fstab を更新します。次の手順では、新しい /boot をマウントする必要があります。
- 現在再インストールされている MBR を使用して GRUB2 を再インストールします。
grub-install /dev/sdY再インストールが必要な理由は、/boot の場所を変更したためです。このコマンドは /boot/grub にもファイルをインストールするため、マウント (およびバックアップ) する必要があります。 - GRUB2 の設定ファイルを再生成します。
grub-mkconfig -o /boot/grub/grub.cfg - 生成された設定ファイルを確認するブートファイルUSB ディスクを参照しているのがわかるはずです (ディスク UID またはファイルシステム UID を使用しているかどうかは覚えていません)。
USB ドライブを接続した状態で起動してセットアップをテストします。次に、USB ドライブなしで起動してみますが、これは機能しないはずです。