無需解密 LUKS 分割區即可重新啟動？

Question 1

如果我的其他答案由於某種原因無法滿足您的要求（例如，因為您不希望您的磁碟區或您的磁碟區上有金鑰檔案）/boot未加密），我還可以推薦此項目：https://github.com/flowztul/keyexec

Answer

如果我的其他答案由於某種原因無法滿足您的要求（例如，因為您不希望您的磁碟區或您的磁碟區上有金鑰檔案）/boot未加密），我還可以推薦此項目：https://github.com/flowztul/keyexec

Question 2

由於 grub2 支援解密 LUKS 加密卷，我假設您的/boot分割區也已加密。這也阻止了一些邪惡的女僕攻擊。

如果是這種情況，您可以安全地擁有一個可以解密 initramfs 內的磁碟區的金鑰。現在，當 kexec 將 initramfs 載入到 ram 中時，它將能夠在載入新核心時解密您的分割區。

因為本指南在 initramfs 內部設定一個 luks 密鑰文件，這也解決了必須輸入兩次密鑰短語的問題（第一次在 grub 中，第二次在 initramfs 加載時）。

Answer

由於 grub2 支援解密 LUKS 加密卷，我假設您的/boot分割區也已加密。這也阻止了一些邪惡的女僕攻擊。

如果是這種情況，您可以安全地擁有一個可以解密 initramfs 內的磁碟區的金鑰。現在，當 kexec 將 initramfs 載入到 ram 中時，它將能夠在載入新核心時解密您的分割區。

因為本指南在 initramfs 內部設定一個 luks 密鑰文件，這也解決了必須輸入兩次密鑰短語的問題（第一次在 grub 中，第二次在 initramfs 加載時）。

相關內容