kexec暗号化された LUKS ルートファイルシステムを復号化せずに、実行中のカーネルを再起動する方法はありますか?
そうではないと思いますが、回避策があるかどうかはわかりません。
答え1
私の他の回答が何らかの理由で要件を満たさない場合(たとえば、ボリュームにキーファイルが必要ない、またはボリュームが/boot暗号化されていないなど)、このプロジェクトもお勧めします。https://github.com/flowztul/keyexec
答え2
grub2はLUKSで暗号化されたボリュームの復号化をサポートしているので、パーティションも暗号化されていると仮定します/boot。これにより、悪意のあるメイドも阻止されます。攻撃。
この場合、initramfs 内のボリュームを復号化できるキーを安全に取得できます。これで、kexec が initramfs を RAM にロードすると、新しいカーネルをロードするときにパーティションを復号化できるようになります。
なぜならこのガイドinitramfs 内に luks キーファイルを設定すると、キーフレーズを 2 回入力する必要がある (最初は grub で、2 回目は initramfs の読み込み時に) という問題も解決されます。