Перезагрузка без расшифровки разделов LUKS?

12

Есть ли способ kexecперезагрузить работающее ядро, не расшифровывая зашифрованную корневую файловую систему LUKS?

Я думаю, что нет, но я не уверен, есть ли обходной путь для этого.

Нафтули Кей
источник
Вы можете создать второй файл initramfs со встроенным файлом ключей, который хранится на зашифрованном томе. Это по крайней мере решило бы запрос пароля. Так же , как первый ответ теперь, когда я прочитал это правильно
Том

Ответы:

2

Если мой другой ответ по какой-то причине не соответствует вашим требованиям (например, потому что вы не хотите, чтобы файл ключа на вашем томе или ваш /bootне был зашифрован), я также могу порекомендовать этот проект: https://github.com/flowztul/keyexec

Zulakis
источник
0

Поскольку grub2 поддерживает расшифровку томов, зашифрованных LUKS, я предполагаю, что ваш /bootраздел также зашифрован. Это также предотвращает некоторые атаки злой служанки .

Если это так, вы можете безопасно иметь ключ, который может расшифровать том внутри ваших initramfs. Теперь, когда kexec загрузит ваши initramfs в ram, он сможет расшифровать ваш раздел при загрузке нового ядра.

Потому что это руководство по настройке ключевого файла luks внутри initramfs, что также решает проблему необходимости ввода ключевой фразы дважды (сначала в grub, затем во время загрузки initramfs).

Zulakis
источник