Estoy usandoopenSUSEy desea utilizar cifrado de disco completo y un dispositivo USB con un archivo de claves para descifrar el sistema. Todo mi sistema está cifrado en el mismolucascontenedor (incluido /boot). Como /bootestá cifrado, grub2 solicita una contraseña para descifrarlo. Una vez que proporciono la contraseña a grub, initrd puede descifrar el sistema usando el archivo de claves /dev/disk/by-partlabel/key, pero grub aún necesita la contraseña para llegar a la fase initrd.
¿Cómo puedo configurar grub2 para usar ese archivo de claves de modo que no se requiera la contraseña?Se accederá a esta computadora a través de ssh y no habrá teclado ni monitor disponibles. Si es necesario, puedo colocar el archivo clave en un sistema de archivos adecuado en lugar de usar una partición clave.
Necesito /bootestar encriptado con el resto del sistema para que pueda tomarse una instantánea junto con el resto del sistema de archivos btrfs y todo el sistema operativo, incluido el kernel, pueda restaurarse a un estado de funcionamiento en caso de que algo se rompa.
Respuesta1
Esta función no está disponible oficialmente hasta donde yo sé.
Puedes echar un vistazo aeste sitio: (y el correspondienterepositorio git).
El comando Cryptomount de Grub puede montar volúmenes LUKS.Esta extensión aumenta esa capacidad con soporte para encabezados separados y archivos clave.además de agregar soporte para volúmenes DMCrypt simples.
Esto hace posible arrancar desde volúmenes LUKS y DMCrypt. El encabezado LUKS se puede desconectar y almacenar en un dispositivo separado, como una llave USB extraíble.Los archivos clave pueden almacenarse de manera similar y usarse en lugar de la entrada interactiva de contraseñas.
Esta extensión también agrega estas características:
- permitir que se especifique un UUID de volumen criptográfico con o sin guiones incrustados.
- Brinde al usuario una segunda oportunidad de ingresar una frase de contraseña después de no poder desbloquear un volumen LUKS con una frase de contraseña o un archivo de clave determinado.
[...]
Se dan instrucciones sobre cómo aplicar parches en sentido ascendente. Probablemente sería mejor integrar los 7 parches mencionados en SuSe .src.rpm y reconstruir el paquete (con todo lo que implica: herramientas de compilación, dependencias de código fuente...), pero eso está fuera del alcance de esta respuesta.
Advertencias:
- No lo probé.
- el trabajo parece haberse detenido en 2018, algunostenedoresson más recientes.
- limitación:
Sin configuración automática
Esta extensión no altera la configuración automatizada de Grub (por ejemplo, grub-mkconfig) de ninguna manera. El uso de las opciones extendidasRequiere configuración manual de grub.cfg.