estou a usaropenSUSEe deseja usar criptografia completa de disco e um dispositivo USB com um arquivo-chave para descriptografar o sistema. Todo o meu sistema está criptografado da mesma formaLUCASrecipiente (incluindo /boot). Por /bootser criptografado, o grub2 pede uma senha para descriptografá-lo. Depois que eu fornecer a senha para o grub, o initrd será capaz de descriptografar o sistema usando o keyfile /dev/disk/by-partlabel/key, mas o grub ainda precisará da senha para chegar à fase initrd.
Como posso configurar o grub2 para usar esse arquivo-chave para que a senha não seja necessária?Este computador será acessado via ssh e teclado e monitor não estarão disponíveis. Se necessário, posso colocar o arquivo-chave em um sistema de arquivos adequado, em vez de usar uma partição-chave.
Preciso /bootser criptografado com o resto do sistema para que ele possa ser capturado junto com o resto do sistema de arquivos btrfs e todo o sistema operacional, incluindo o kernel, possa ser restaurado para um estado de funcionamento caso algo quebre.
Responder1
Este recurso não está oficialmente disponível, até onde eu sei.
Você pode dar uma olhadaesse site: (e o correspondenterepositório git).
O comando Grub cryptomount pode montar volumes LUKS.Esta extensão aumenta essa capacidade com suporte para cabeçalhos desanexados e arquivos-chavebem como adicionar suporte para volumes DMCrypt simples.
Isto torna possível inicializar a partir de volumes LUKS e DMCrypt. O cabeçalho LUKS pode ser destacado e armazenado em um dispositivo separado, como uma chave USB removível.Os arquivos principais podem ser armazenados de maneira semelhante e usados em vez da entrada de senha interativa.
Esta extensão também adiciona estes recursos:
- permitir que um UUID de volume criptográfico seja especificado com ou sem hífens incorporados.
- dê ao usuário uma segunda chance de inserir uma senha após não conseguir desbloquear um volume LUKS com uma determinada senha ou arquivo de chave.
[...]
São fornecidas instruções sobre como aplicar patches ao upstream. Provavelmente seria melhor integrar os 7 patches mencionados ao SuSe .src.rpm e reconstruir o pacote (com tudo o que isso implica: ferramentas de construção, dependências de origem...), mas isso está fora do escopo desta resposta.
Ressalvas:
- Eu não testei.
- o trabalho parece ter parado em 2018, algunsgarfossão mais recentes.
- limitação:
Sem configuração automática
Esta extensão não altera a configuração automatizada do Grub (por exemplo, grub-mkconfig) de forma alguma. O uso das opções estendidasrequer configuração manual do grub.cfg.