我有一個關於啟動時解密加密裝置的行為的問題。
我使用兩種不同的 Debian 11 安裝。兩個系統都有加密的根分割區和交換分割區以及加密的開機分割區。伺服器根目錄位於加密分割區頂部的 LVM 磁碟區上。
現在,當我第一次啟動伺服器時,grub 要求我解鎖啟動分割區。然後,在 initramfs 階段,我被要求解鎖根分區,當然,之後在 init 階段再次解鎖引導分區。但是,當我啟動桌面安裝時,解鎖根分區之前的所有內容都是相同的,但隨後在初始化階段不再要求我輸入啟動分區的密碼。相反,啟動會自動加密並安裝,無需任何輸入。
這是我不明白的地方。有什麼差別,這樣就不需要再輸入密碼了?
答案1
您的桌面可能正在使用額外的金鑰檔案。當您解鎖根分割區時,可以使用此金鑰檔案解鎖啟動分割區,而無需詢問密碼。我個人不喜歡在主機運行時將未加密的密鑰放在檔案系統上,但它可以在啟動時節省輸入。
加密分區具有多個可以填充密碼或金鑰檔案的插槽,這允許多個使用者在不共享密碼的情況下存取系統。密鑰檔案可用於透過插入 USB 隨身碟或智慧卡來啟用存取。