我使用的设备相当老旧,带有 BIOS、MBR 和 TPM1.2 模块。我设法加密了数据盘,并创建了脚本,使用存储在 TPM1.2 中的密钥即时解密数据盘。
然而,所有的工作都不理想,特别是:
- 现在 systemd 不支持 crypttab 中的 keyscript,这就是为什么我使用在加载所有进程时挂载加密卷的外部脚本。
- 我尝试使用 initramfs,但是为了使 tpm_nvread 可以工作,需要加载与 tpm1.2 通信的特殊软件,特别是裤子服务。
我的主要任务是:
- 将启动分区留在单独的未加密小磁盘上
- 加密根分区,通过从 TPM 模块读取密钥进行解密,也可以手动提供密码。
- 加密数据并备份分区。
也许您可以根据我的条件建议如何实现这一目标。