起動時に暗号化されたデバイスを復号化する動作に関して質問があります。
私は Debian 11 の 2 つの異なるインストールを使用しています。1 つは GUI のないヘッドレス サーバー インストールで、もう 1 つはデスクトップ環境として LXQt を使用する通常のデスクトップ インストールです。どちらのシステムにも、暗号化されたルート パーティションとスワップ パーティション、および暗号化されたブート パーティションがあります。サーバーでは、ルートは暗号化されたパーティションの上にある LVM ボリュームにあります。
さて、サーバーを起動すると、最初に grub がブート パーティションのロックを解除するように要求します。次に、initramfs ステージでルート パーティションのロックを解除するように要求され、その後、init フェーズでブート パーティションのロックを再度解除するように要求されます。ただし、デスクトップ インストールを起動すると、ルート パーティションのロックを解除するまではすべて同じですが、init ステージでブート パーティションのパスワードを再度要求されることはありません。代わりに、ブートは自動的に暗号化され、入力なしでマウントされます。
これが理解できない点です。パスワードが 2 度必要にならないようにするには、どのような違いがあるのでしょうか?
答え1
デスクトップでは追加のキーファイルを使用している可能性があります。ルート パーティションのロックを解除すると、このキーファイルを使用して、パスワードを要求せずにブート パーティションのロックを解除できます。個人的には、ホストの実行中に暗号化されていないキーがファイル システム上に残っているのは好きではありませんが、起動時に入力する手間が省けます。
暗号化されたパーティションには、パスワードやキーファイルを入れることができる複数のスロットがあり、これにより、複数のユーザーがパスワードを共有せずにシステムにアクセスできるようになります。キーファイルを使用すると、USB ドライブやスマートカードを挿入してアクセスできるようになります。