目前的想法

Question

远程解锁加密分区

有一种简单且基本标准的方法可以在启动时解锁加密分区，而无需修改根分区。它需要dropbear、busybox和dropbear-initramfs。

$ sudo apt install dropbear busybox dropbear-initramfs

将 busybox 添加到 initramfs

要busybox在初始 RAM 磁盘中启用，请BUSYBOX=y在中设置/etc/initramfs-tools/initramfs.conf。dropbear SSH 主机密钥存储在/etc/dropbear-initramfs或/etc/dropbear/initramfs文件夹中（自 Ubuntu 22.04 起）。

将公钥添加到 dropbear 的 authorized_keys 中

初始 RAM 磁盘中没有用户管理，因此只有拥有公钥的 root 用户才能/etc/dropbear-initramfs/authorized_keys通过登录ssh。您可以添加任何公钥，也可以简单地复制您的用户的一个公钥：

$ sudo cp ~/.ssh/authorized_keys /etc/dropbear-initramfs/authorized_keys

警告：某些旧dropbear版本不支持ed25519按键。

使用 dropbear 密钥更新 initramfs

此后，需要更新初始 RAM 磁盘：

$ sudo update-initramfs -u

就是这样，现在重新启动系统并等待cryptsetup对话框。

远程解锁系统

重启后系统会等待加密设备的解锁，使用sshroot用户和对应的私钥登录。

# From a remote system
$ ssh -i ~/.ssh/my_private.id_rsa [email protected]
Enter passphrase for key '~/.ssh/my_private.id_rsa':


BusyBox v1.30.1 (Ubuntu 1:1.30.1-4ubuntu6.1) built-in shell (ash)
Enter 'help' for a list of built-in commands.

#
# cryptroot-unlock
Please unlock disk ubuntu-root:
cryptsetup: ubuntu-root set up successfully
# Connection to my.system.waiting.for.a.password.com closed by remote host.
Connection to my.system.waiting.for.a.password.com closed.

系统将以解锁的根设备启动。

针对 Ubuntu 22.04 的更新

由 Sjors Provoost 提出 - 此方法在 Ubuntu 22.04 中停止工作。背后的原因是的软件包依赖项发生了变化dropbear-initramfs。在 20.04 中，此软件包是recommend，在 22.04 中是suggest。因此，如果没有明确选择，将无法安装软件包。除此之外，dropbear键的位置从更改/etc/dropbear-initramfs为/etc/dropbear/initramfs--> 包含在答案中的更新。

Answer 1

远程解锁加密分区

有一种简单且基本标准的方法可以在启动时解锁加密分区，而无需修改根分区。它需要dropbear、busybox和dropbear-initramfs。

$ sudo apt install dropbear busybox dropbear-initramfs

将 busybox 添加到 initramfs

要busybox在初始 RAM 磁盘中启用，请BUSYBOX=y在中设置/etc/initramfs-tools/initramfs.conf。dropbear SSH 主机密钥存储在/etc/dropbear-initramfs或/etc/dropbear/initramfs文件夹中（自 Ubuntu 22.04 起）。

将公钥添加到 dropbear 的 authorized_keys 中

初始 RAM 磁盘中没有用户管理，因此只有拥有公钥的 root 用户才能/etc/dropbear-initramfs/authorized_keys通过登录ssh。您可以添加任何公钥，也可以简单地复制您的用户的一个公钥：

$ sudo cp ~/.ssh/authorized_keys /etc/dropbear-initramfs/authorized_keys

警告：某些旧dropbear版本不支持ed25519按键。

使用 dropbear 密钥更新 initramfs

此后，需要更新初始 RAM 磁盘：

$ sudo update-initramfs -u

就是这样，现在重新启动系统并等待cryptsetup对话框。

远程解锁系统

重启后系统会等待加密设备的解锁，使用sshroot用户和对应的私钥登录。

# From a remote system
$ ssh -i ~/.ssh/my_private.id_rsa [email protected]
Enter passphrase for key '~/.ssh/my_private.id_rsa':


BusyBox v1.30.1 (Ubuntu 1:1.30.1-4ubuntu6.1) built-in shell (ash)
Enter 'help' for a list of built-in commands.

#
# cryptroot-unlock
Please unlock disk ubuntu-root:
cryptsetup: ubuntu-root set up successfully
# Connection to my.system.waiting.for.a.password.com closed by remote host.
Connection to my.system.waiting.for.a.password.com closed.

系统将以解锁的根设备启动。

针对 Ubuntu 22.04 的更新

由 Sjors Provoost 提出 - 此方法在 Ubuntu 22.04 中停止工作。背后的原因是的软件包依赖项发生了变化dropbear-initramfs。在 20.04 中，此软件包是recommend，在 22.04 中是suggest。因此，如果没有明确选择，将无法安装软件包。除此之外，dropbear键的位置从更改/etc/dropbear-initramfs为/etc/dropbear/initramfs--> 包含在答案中的更新。

目前的想法

目前的想法

问题

答案1

远程解锁加密分区

将 busybox 添加到 initramfs

将公钥添加到 dropbear 的 authorized_keys 中

使用 dropbear 密钥更新 initramfs

远程解锁系统

针对 Ubuntu 22.04 的更新

相关内容