linux核心在啟動時從加密分割區掛載檔案系統,如何?

linux核心在啟動時從加密分割區掛載檔案系統,如何?

我的SD卡有兩個分割區,一個是啟動分割區,另一個是檔案系統分割區,現在我使用linux工具cryptsetup加密檔案系統分割區,當我的主機板上啟動時,核心無法掛載檔案系統(加密),我的目標是為了保護整個檔案系統,也許三個分區可以實現,如果我只有兩個分區,是否可以實現?

答案1

您還沒有建議您正在使用的發行版,這會產生影響。在Linux下絕對可以用2個分割區進行「全碟」加密,而且我知道Ubuntu也可以做到。 (不確定預設安裝是否可以,我認為可以,否則您可以獲得可以的備用磁碟)。我想 Fedora 或 CentOS 也有 Spin。

用於實現此目的的機制如下:

  1. 建立(或讓系統為您建立)2 個分割區,一個小的「啟動」分割區,通常約為 200 兆,以及一個用於加密的大分割區。 (您需要確定是否需要額外的交換分割區,或者是否想要使用 LVM 或檔案形式安裝加密的交換分割區 - 每種方法都有優點,但為了安全起見,您可能會受到效能影響並將其安裝在加密分區)

  2. 您的作業系統會將啟動所需的最低限度的內容放在啟動分區(通常是/boot)上。雖然它未加密,但它只包含“庫存文件”。

  3. 然後,安裝通常會建置/重新建立初始 ramdisk (initrd),其中包括提示輸入密碼、解密系統以及以 root 身分重新掛載所需的檔案和命令。

相關內容