12 有没有一种方法可以kexec重启运行中的内核而不必解密加密的LUKS根文件系统? 我以为没有,但是我不确定是否有解决方法。 luks kexec — 纳夫图利凯 source 您也许可以使用存储在加密卷上的嵌入式密钥文件创建第二个initramfs。这样至少可以解决密码提示问题。就像现在我正确阅读的第一个答案一样 — 汤姆(Tom)
2 如果我的其他答案由于某种原因不能满足您的要求(例如,因为您不希望卷上存在密钥文件或您的密钥/boot未加密),我也可以推荐该项目:https : //github.com/flowztul/keyexec — 祖拉基斯 source
0 由于grub2支持解密LUKS加密的卷,因此我假设您的/boot分区也已加密。这也阻止了一些邪恶女仆的袭击。 在这种情况下,您可以安全地拥有一个可以解密initramfs内部卷的密钥。现在,当kexec将您的initramfs加载到ram中时,它将能够在加载新内核时解密您的分区。 因为该指南在initramfs内设置luks密钥文件,所以它也解决了必须两次输入密钥短语的问题(首先是grub,第二次是initramfs加载时)。 — 祖拉基斯 source