這個問題是關於以下提出的問題:開機時掛載LUKS加密硬碟
我已將我的密鑰添加到主資料夾中,一切都非常順利。多謝你們!
但是我想更好地理解以下陳述:
更新:如果我在(未加密)中找到密鑰文件
/boot,而不是在我的/home/[USERNAME](加密的)/dev/sda1並更新條目/etc/crypttab在啟動時完美安裝。
假設我們的/home/[USERNAME]分區是加密的, 如何引導程式/home/[USERNAME]在搜尋檔案之前知道在哪裡可以找到解密分割區的金鑰/home/[USERNAME]/.keyfiles/key_luks?
可能的解決方案如下:如何配置LVM和LUKS自動解密分割區?,其中包括將 luks 金鑰儲存在 USB 裝置中。然而,無論出於何種原因,我們都不會採用這種方法。
我已經看到一種可能性是將金鑰新增至金鑰環,但是我找不到在啟動時使用儲存在金鑰環中的 luks 金鑰組合解密 luks 分割區的解決方案。
答案1
您不想將金鑰放在非加密分割區上,例如您提到的 /boot 。這將使加密變得毫無用處,因為任何人都可以讀取金鑰檔案並解密您的分割區。使用 USB 記憶棒的解決方案是,您只需在啟動過程中插入 USB 記憶棒或任何其他可移動介質,然後就可以將其取出並將其存放在安全的地方。