有没有办法解密使用“标准”或常用卷加密系统(如 LUKS)使用多个密码加密的卷?我一直在寻找可以做到这一点的方法,但没有发现任何迹象表明这是可能的。
如果没有使用 LUKS 本地执行此操作的方法,我想知道是否有人尝试过构建一种自定义方法来实现这一点 - 可能将卷解密密钥/密码存储在可由多个用户解密的加密文件中(例如gpg --encrypt --recipient user1 --recipient user2 luks-passphrase.txt) - 如何自动在启动时提示解密?
用例的简要背景:我想配置一个多个用户可以登录的工作站。/home需要加密,但我不想使用共享密钥在用户之间分发 - 每个用户都应该能够使用私有的、非共享的凭据启动并登录系统。
如果 LUKS 不起作用,那么我会考虑GPG 加密环回磁盘 | Patrick Uiterwijk 博客作为替代系统。
答案1
因此此功能在 cryptsetup 中是原生可用的。例如
# cryptsetup luksAddKey --key-slot 1 /dev/sda2