나는 사용하고있다오픈수세전체 디스크 암호화와 키 파일이 있는 USB 장치를 사용하여 시스템을 해독하려고 합니다. 내 전체 시스템이 동일하게 암호화되어 있습니다.루크스컨테이너(포함 /boot). 암호화되어 있으므로 /bootgrub2는 이를 해독하기 위해 비밀번호를 요청합니다. grub에 비밀번호를 제공하면 initrd는 keyfile을 사용하여 시스템의 암호를 해독할 수 있지만 /dev/disk/by-partlabel/keygrub은 initrd 단계에 도달하려면 여전히 비밀번호가 필요합니다.
암호가 필요하지 않도록 해당 키 파일을 사용하도록 grub2를 구성하려면 어떻게 해야 합니까?이 컴퓨터는 SSH를 통해 액세스되며 키보드와 모니터를 사용할 수 없습니다. 필요한 경우 키 파티션을 사용하는 대신 키 파일을 적절한 파일 시스템에 넣을 수 있습니다.
/bootbtrfs 파일 시스템의 나머지 부분과 함께 스냅샷을 찍을 수 있도록 시스템의 나머지 부분과 함께 암호화해야 하며, 커널을 포함한 전체 OS가 중단될 경우 작업 상태로 복원할 수 있습니다 .
답변1
이 기능은 제가 아는 한 공식적으로 제공되지 않습니다.
당신은 살펴볼 수 있습니다이 장소: (및 해당Git 저장소).
Grub cryptomount 명령은 LUKS 볼륨을 마운트할 수 있습니다.이 확장은 분리된 헤더 및 키 파일을 지원하여 해당 기능을 강화합니다.일반 DMCrypt 볼륨에 대한 지원도 추가됩니다.
이를 통해 LUKS 및 DMCrypt 볼륨에서 부팅할 수 있습니다. LUKS 헤더는 분리하여 이동식 USB 키와 같은 별도의 장치에 저장할 수 있습니다.키 파일은 비슷한 방식으로 저장되어 대화형 암호 입력 대신 사용될 수 있습니다.
이 확장에는 다음 기능도 추가됩니다.
- 하이픈을 포함하거나 포함하지 않고 암호화 볼륨 UUID를 지정할 수 있습니다.
- 특정 암호 또는 키 파일로 LUKS 볼륨 잠금을 해제하지 못한 후 사용자에게 암호를 입력할 수 있는 두 번째 기회를 제공합니다.
[...]
업스트림에 패치를 적용하는 방법에 대한 지침이 제공됩니다. SuSe .src.rpm에 언급된 7개의 패치를 통합하고 패키지를 다시 빌드하는 것이 가장 좋을 것입니다(빌드 도구, 소스 종속성 등 모든 것을 포함). 그러나 이는 이 답변의 범위를 벗어납니다.
주의사항:
- 나는 그것을 테스트하지 않았습니다.
- 2018년에 작업이 중단된 것으로 보이며 일부포크더 최근입니다.
- 한정:
자동 구성 없음
이 확장은 어떤 방식으로든 Grub의 자동 구성(예: grub-mkconfig)을 변경하지 않습니다. 확장 옵션을 사용하면grub.cfg를 수동으로 구성해야 합니다..