在启动时挂载 LUKS 加密的硬盘(luks 密钥存储在由 ecryptfs 加密的 HOME 文件夹中)

在启动时挂载 LUKS 加密的硬盘(luks 密钥存储在由 ecryptfs 加密的 HOME 文件夹中)

该问题与以下提出的问题有关:启动时挂载 LUKS 加密硬盘

我已将我的密钥添加到主文件夹,一切运行正常。谢谢大家!

然而我想更好地理解以下说法:

更新:如果我将密钥文件放在/boot(未加密)中,而不是我的/home/[USERNAME]加密/dev/sda1并更新中的条目/etc/crypttab在启动时完美安装。

假设我们的/home/[USERNAME]分区是加密, 如何引导加载程序/home/[USERNAME]在搜索文件之前会知道在哪里找到解密分区的密钥吗/home/[USERNAME]/.keyfiles/key_luks

一种可能的解决方案如下:如何配置 LVM 和 LUKS 来自动解密分区?,即把 luks 密钥存储在 USB 设备中。但无论出于什么原因,我们都不会采用这种方法。

我已经看到一种可能性是将密钥添加到密钥环中,但是我找不到结合在启动时使用存储在密钥环中的 luks 密钥解密 luks 分区的解决方案。

答案1

您不想将密钥放在未加密的分区(例如您提到的 /boot)上。这样会使加密变得毫无用处,因为任何人都可以读取密钥文件并解密您的分区。使用 USB 棒的解决方案是,您只需在启动时插入 USB 棒或任何其他可移动媒体,然后就可以将其取出并存放在安全的地方。

相关内容