У меня есть вопрос относительно поведения расшифровки зашифрованных устройств при запуске.
Я использую две разные установки Debian 11. Одна — это headless server без какого-либо GUI, а другая — обычная настольная установка с LXQt в качестве Desktop Environment. Обе системы имеют зашифрованные корневой и swap-разделы, а также зашифрованный загрузочный раздел. На сервере root находится на томе LVM поверх зашифрованного раздела.
Теперь, когда я загружаю сервер, grub сначала просит меня разблокировать загрузочный раздел. Затем на этапе initramfs меня просят разблокировать корневой раздел, а после этого на этапе init снова разблокировать загрузочный раздел, конечно. Но когда я загружаю установку рабочего стола, все до разблокировки корневого раздела то же самое, но затем меня больше не спрашивают пароль для загрузочного раздела на этапе init. Вместо этого загрузка автоматически шифруется и монтируется без какого-либо ввода.
Вот этого я не понимаю. В чем разница, чтобы не нужно было второй раз вводить пароль?
решение1
Ваш рабочий стол может использовать дополнительный файл ключей. Когда вы разблокируете корневой раздел, этот файл ключей можно использовать для разблокировки загрузочного раздела без запроса пароля. Лично мне не нравится, когда незашифрованные ключи лежат в файловой системе, пока хост работает, но это может сэкономить время на вводе при запуске.
Зашифрованный раздел имеет несколько слотов, которые могут быть заполнены паролями или ключевыми файлами, что потенциально позволяет нескольким пользователям иметь доступ к системе без совместного использования паролей. Ключевые файлы могут использоваться для включения доступа путем вставки USB-накопителя или смарт-карты.