รีบูตโดยไม่ต้องถอดรหัสพาร์ติชัน LUKS หรือไม่

12

มีวิธีการkexecรีบูตเคอร์เนลที่ใช้งานอยู่โดยไม่ต้องถอดรหัสระบบไฟล์รูทของ LUKS ที่เข้ารหัสหรือไม่?

ฉันไม่คิด แต่ฉันไม่แน่ใจว่ามีวิธีแก้ปัญหานี้หรือไม่

luks  kexec 
Naftuli Kay
แหล่งที่มา
คุณอาจจะสามารถสร้าง initramfs ตัวที่สองพร้อมกับไฟล์คีย์แบบฝังซึ่งถูกเก็บไว้ในโวลุ่มที่เข้ารหัส อย่างน้อยก็จะแก้ปัญหาการถามรหัสผ่าน เช่นเดียวกับคำตอบแรกตอนที่ฉันอ่านมันอย่างถูกต้อง
ทอม

คำตอบ:

2

หากคำตอบอื่น ๆ ของฉันทำด้วยเหตุผลบางประการที่ไม่เป็นไปตามข้อกำหนดของคุณ (เช่นเพราะคุณไม่ต้องการ keyfile ในปริมาณของคุณหรือ/bootไม่ได้เข้ารหัสของคุณ) ฉันสามารถแนะนำโครงการนี้: https://github.com/flowztul/keyexec

Zulakis
แหล่งที่มา
0

เนื่องจาก grub2 รองรับการถอดรหัสโวลุ่มที่เข้ารหัส LUKS ฉันจะถือว่า/bootพาร์ติชันของคุณถูกเข้ารหัสเช่นกัน สิ่งนี้ยังขัดขวางการโจมตีของแม่บ้านที่ชั่วร้ายด้วย

หากเป็นกรณีนี้คุณสามารถมีคีย์ที่สามารถถอดรหัสระดับเสียงภายใน initramfs ของคุณได้อย่างปลอดภัย ตอนนี้เมื่อ kexec โหลด initramfs ของคุณลงใน ram มันจะสามารถถอดรหัสพาร์ติชั่นของคุณเมื่อโหลดเคอร์เนลใหม่

เนื่องจากคำแนะนำนี้เพื่อตั้งค่า luks keyfile ภายในของ initramfs ซึ่งยังแก้ปัญหาของการต้องป้อน keyphrase สองครั้ง (ครั้งแรกในด้วงที่สองเมื่อกำลังโหลด initramfs)

Zulakis
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.