我一直在研究 ArchLinux 的系统加密,我想我已经弄清楚了,但我对 /boot 分区有一个疑问。系统启动后,是否可以卸载 /boot 分区并允许系统继续运行?
我的想法是将 /boot 安装到 USB 上,因为它不能保持加密状态,然后从 USB 启动,这将启动加密的硬盘。然后我可以取出 USB 密钥并正常使用系统。
我之所以要这样做,是因为如果攻击者能够物理访问机器,他们就可以使用按键记录器修改 /boot 分区并窃取密钥,如果他们已经有加密数据的副本,他们就可以坐下来等待密钥。我想我可以想出一个系统来验证每次启动时引导是否未受影响。
以前有人这样做过吗?有什么指导可以指导我自己实施吗?
答案1
是的,如果您加密驱动器,这是可能的,甚至建议您这样做。
您唯一需要记住的就是在进行内核升级时将其连接起来。其余的都很简单,对 USB 进行分区,在其上安装 GRUB(或 LILO),将分区设置/boot为可引导分区,在引导加载程序配置中的参数中使用 UUID 或 LABEL root=,这样您就应该有一个可行的解决方案。