kexec암호화된 LUKS 루트 파일 시스템을 해독하지 않고도 실행 중인 커널을 재부팅 할 수 있는 방법이 있습니까 ?
나는 그렇지 않다고 생각하지만 이에 대한 해결 방법이 있는지 확실하지 않습니다.
답변1
내 다른 답변이 어떤 이유로든 귀하의 요구 사항을 충족하지 못하는 경우(예: 볼륨에 키 파일을 원하지 않거나 /boot암호화되지 않은 경우) 이 프로젝트를 추천할 수도 있습니다.https://github.com/flowztul/keyexec
답변2
/bootgrub2는 LUKS로 암호화된 볼륨의 암호 해독을 지원하므로 귀하의 파티션도 암호화되어 있다고 가정하겠습니다 . 이것은 또한 일부 사악한 하녀를 좌절시킵니다공격.
이 경우 initramfs 내부의 볼륨을 해독할 수 있는 키를 안전하게 가질 수 있습니다. 이제 kexec가 initramfs를 램에 로드하면 새 커널을 로드할 때 파티션의 암호를 해독할 수 있습니다.
왜냐하면이 가이드initramfs 내부에 luks 키 파일을 설정하면 키 문구를 두 번 입력해야 하는 문제도 해결됩니다(첫 번째는 grub에서, 두 번째는 initramfs가 로드될 때).