Ich benutzeopenSUSEund möchte die vollständige Festplattenverschlüsselung und ein USB-Gerät mit einer Schlüsseldatei verwenden, um das System zu entschlüsseln. Mein gesamtes System ist in derselbenLUKSContainer (einschließlich /boot). Da /bootverschlüsselt ist, verlangt grub2 zur Entschlüsselung ein Passwort. Sobald ich grub das Passwort mitteile, kann initrd das System mithilfe der Schlüsseldatei entschlüsseln /dev/disk/by-partlabel/key, aber grub benötigt das Passwort noch immer, um zur initrd-Phase zu gelangen.
Wie kann ich grub2 so konfigurieren, dass diese Schlüsseldatei verwendet wird, sodass das Kennwort nicht erforderlich ist?Der Zugriff auf diesen Computer erfolgt über SSH und es stehen weder Tastatur noch Monitor zur Verfügung. Bei Bedarf kann ich die Schlüsseldatei in ein geeignetes Dateisystem einfügen, anstatt eine Schlüsselpartition zu verwenden.
Ich muss /bootmit dem Rest des Systems verschlüsselt sein, damit davon zusammen mit dem Rest des BTRFS-Dateisystems ein Snapshot erstellt werden kann und das gesamte Betriebssystem (einschließlich Kernel) in einen funktionsfähigen Zustand zurückversetzt werden kann, falls etwas kaputtgeht.
Antwort1
Soweit ich weiß, ist diese Funktion nicht offiziell verfügbar.
Sie können einen Blick darauf werfenDiese Seite: (und die entsprechendenGit-Repository).
Mit dem Grub-Befehl cryptomount können LUKS-Volumes gemountet werden.Diese Erweiterung erweitert diese Fähigkeit um die Unterstützung für getrennte Header und Schlüsseldateienund bietet Unterstützung für einfache DMCrypt-Volumes.
Dadurch ist es möglich, von LUKS- und DMCrypt-Volumes zu booten. Der LUKS-Header kann abgetrennt und auf einem separaten Gerät wie einem entfernbaren USB-Stick gespeichert werden.Schlüsseldateien können auf ähnliche Weise gespeichert und anstelle der interaktiven Passphrase-Eingabe verwendet werden.
Diese Erweiterung fügt außerdem folgende Funktionen hinzu:
- Ermöglicht die Angabe einer Krypto-Volume-UUID mit oder ohne eingebettete Bindestriche.
- Geben Sie dem Benutzer eine zweite Chance, eine Passphrase einzugeben, nachdem das Entsperren eines LUKS-Volumes mit einer bestimmten Passphrase oder Schlüsseldatei fehlgeschlagen ist.
[...]
Es werden Anweisungen zum Anwenden von Patches auf Upstream gegeben. Es wäre wahrscheinlich am besten, die 7 genannten Patches in die SuSe .src.rpm zu integrieren und das Paket neu zu erstellen (mit allem, was dazu gehört: Build-Tools, Quellabhängigkeiten ...), aber das liegt außerhalb des Rahmens dieser Antwort.
Vorbehalte:
- Ich habe es nicht getestet.
- Die Arbeiten scheinen 2018 eingestellt worden zu sein, einigeGabelnsind neueren Datums.
- Einschränkung:
Keine automatische Konfiguration
Diese Erweiterung verändert die automatische Konfiguration von Grub (z. B. grub-mkconfig) in keiner Weise. Die Verwendung der erweiterten Optionen wirderfordert manuelle Konfiguration von grub.cfg.