重新启动而不必解密LUKS分区?


12

有没有一种方法可以kexec重启运行中的内核而不必解密加密的LUKS根文件系统?

我以为没有,但是我不确定是否有解决方法。


您也许可以使用存储在加密卷上的嵌入式密钥文件创建第二个initramfs。这样至少可以解决密码提示问题。就像现在我正确阅读的第一个答案一样
汤姆(Tom)

Answers:



0

由于grub2支持解密LUKS加密的卷,因此我假设您的/boot分区也已加密。这也阻止了一些邪恶女仆的袭击

在这种情况下,您可以安全地拥有一个可以解密initramfs内部卷的密钥。现在,当kexec将您的initramfs加载到ram中时,它将能够在加载新内核时解密您的分区。

因为该指南在initramfs内设置luks密钥文件,所以它也解决了必须两次输入密钥短语的问题(首先是grub,第二次是initramfs加载时)。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.