Ich habe eine Frage zum Verhalten beim Entschlüsseln verschlüsselter Geräte beim Start.
Ich verwende zwei verschiedene Installationen von Debian 11. Eine ist eine Headless-Serverinstallation ohne GUI und die andere ist eine normale Desktopinstallation mit LXQt als Desktopumgebung. Beide Systeme haben verschlüsselte Root- und Swap-Partitionen sowie eine verschlüsselte Bootpartition. Auf dem Server liegt das Root auf einem LVM-Volume über der verschlüsselten Partition.
Wenn ich jetzt den Server boote, werde ich zuerst von Grub aufgefordert, die Bootpartition zu entsperren. Dann werde ich während der Initramfs-Phase aufgefordert, die Rootpartition zu entsperren, und danach natürlich während der Init-Phase, die Bootpartition erneut zu entsperren. Aber wenn ich die Desktop-Installation boote, ist alles bis zum Entsperren der Rootpartition gleich, aber dann werde ich in der Init-Phase nicht erneut nach dem Passwort für die Bootpartition gefragt. Stattdessen wird der Bootvorgang automatisch verschlüsselt und ohne Eingabe gemountet.
Das ist es, was ich nicht verstehe. Was ist der Unterschied, damit das Passwort nicht ein zweites Mal abgefragt wird?
Antwort1
Ihr Desktop verwendet möglicherweise eine zusätzliche Schlüsseldatei. Wenn Sie die Root-Partition entsperren, kann diese Schlüsseldatei verwendet werden, um die Boot-Partition zu entsperren, ohne dass ein Kennwort abgefragt werden muss. Ich persönlich mag es nicht, wenn unverschlüsselte Schlüssel auf dem Dateisystem herumliegen, während der Host läuft, aber es kann beim Starten das Eintippen ersparen.
Eine verschlüsselte Partition verfügt über mehrere Slots, die mit Passwörtern oder Schlüsseldateien gefüllt werden können. Dadurch können potenziell mehrere Benutzer auf das System zugreifen, ohne Passwörter teilen zu müssen. Die Schlüsseldateien können verwendet werden, um den Zugriff durch Einstecken eines USB-Sticks oder einer Smartcard zu ermöglichen.