我使用具有全盘加密功能的 Lubuntu 20.04。
# lsb_release -a
Distributor ID: Ubuntu
Description: Ubuntu 20.04.2 LTS
Release: 20.04
Codename: focal
每次启动时,都会有一行登录信息需要输入密码。
然后,我检查使用的密钥cryptsetup并检查正在使用哪个插槽。
# cryptsetup luksDump /dev/sda2 | grep ENABLE
Key Slot 0: ENABLED
Key Slot 1: ENABLED
我看到根目录中有/crypto_keyfile.bin。然后,我尝试打开它:
# cryptsetup open --key-file /crypto_keyfile.bin --test-passphrase /dev/sda2 --verbose
Key slot 1 unlocked.
Command successful.
看起来该文件使用插槽号 1,而不是用于我的启动时密码的插槽号 0。
基于本文档:
使用 GRUB 早期加密磁盘功能时应用此方法可能会有用,以避免输入两个密码在启动过程中。
我的问题是,删除“/crypto_keyfile.bin”安全吗?如果安全,当文件丢失甚至损坏时,它会询问第二个密码吗?
谢谢。
答案1
我阅读了手册并且我所做的就是运行:
sudo cryptsetup luksRemoveKey /dev/sda2 --key-file /crypto_keyfile.bin
然后删除了该文件。
警告:仅当您已经使用以下命令测试了插槽 0 时才执行此操作:
sudo cryptsetup open --test-passphrase /dev/sda2 --verbose并输入您的密码以查看在移除和删除密钥文件之前您是否仍然可以解锁设备。
另外,请记住,此文件通常是为了自动解锁 PC 而创建的,如果您删除它,它将不再执行此操作。通常,mkinitcpio 的 dracut 会选择此文件并使用它来解锁设备。