Gibt es eine Möglichkeit, kexeceinen laufenden Kernel neu zu starten, ohne ein verschlüsseltes LUKS-Root-Dateisystem entschlüsseln zu müssen?
Ich könnte mir vorstellen, dass das nicht der Fall ist, bin mir aber nicht sicher, ob es dafür eine Problemumgehung gibt.
Antwort1
Wenn meine andere Antwort aus irgendeinem Grund nicht Ihren Anforderungen entspricht (z. B. weil Sie keine Schlüsseldatei auf Ihrem Datenträger möchten oder Ihr Datenträger /bootnicht verschlüsselt ist), kann ich Ihnen auch dieses Projekt empfehlen:https://github.com/flowztul/keyexec
Antwort2
Da grub2 das Entschlüsseln von LUKS-verschlüsselten Volumes unterstützt, gehe ich davon aus, dass Ihre /bootPartition ebenfalls verschlüsselt ist. Dies verhindert auch einige böseAnschläge.
Wenn dies der Fall ist, können Sie sicher einen Schlüssel haben, mit dem Sie das Volume in Ihrem Initramfs entschlüsseln können. Wenn kexec nun Ihr Initramfs in den RAM lädt, kann es Ihre Partition beim Laden des neuen Kernels entschlüsseln.
Weildieser Leitfadenum eine Luks-Schlüsseldatei innerhalb des Initramfs einzurichten, wodurch auch das Problem gelöst wird, dass die Schlüsselphrase zweimal eingegeben werden muss (zuerst in Grub, dann beim Laden des Initramfs).