该问题与以下提出的问题有关:启动时挂载 LUKS 加密硬盘
我已将我的密钥添加到主文件夹,一切运行正常。谢谢大家!
然而我想更好地理解以下说法:
更新:如果我将密钥文件放在
/boot
(未加密)中,而不是我的/home/[USERNAME]
(加密)/dev/sda1
并更新中的条目/etc/crypttab
在启动时完美安装。
假设我们的/home/[USERNAME]
分区是加密, 如何引导加载程序/home/[USERNAME]
在搜索文件之前会知道在哪里找到解密分区的密钥吗/home/[USERNAME]/.keyfiles/key_luks
?
一种可能的解决方案如下:如何配置 LVM 和 LUKS 来自动解密分区?,即把 luks 密钥存储在 USB 设备中。但无论出于什么原因,我们都不会采用这种方法。
我已经看到一种可能性是将密钥添加到密钥环中,但是我找不到结合在启动时使用存储在密钥环中的 luks 密钥解密 luks 分区的解决方案。
答案1
您不想将密钥放在未加密的分区(例如您提到的 /boot)上。这样会使加密变得毫无用处,因为任何人都可以读取密钥文件并解密您的分区。使用 USB 棒的解决方案是,您只需在启动时插入 USB 棒或任何其他可移动媒体,然后就可以将其取出并存放在安全的地方。