在我的 Linux 笔记本电脑中,我有两个磁盘:一个较大的传统 HDD 和一个较小但速度较快的 SSD。
在 SSD 上,我有一个小型未加密的/boot-Partition,其中包含内核、initrd 映像和 GRUB。所有剩余的东西(包括 Linux /、、、...)都分成两个swap/home卢克斯加密的伪设备。这些设备在启动时使用 中的条目启动/etc/crypttab。一切正常。
但是在启动期间,我必须输入两个密码才能激活两个 LUKS 容器。
由于我对两个磁盘使用了相同的密码,因此我现在正在寻找一种聪明而安全的方法,让我只需在启动时输入一次密码即可启动两个磁盘。有什么想法吗?
我已经知道我可以将第二个磁盘的密码存储在 SSD 上已加密的根文件系统上的密钥文件中,并在文件中引用它/etc/crypttab。但我担心这个密钥文件可能会以某种方式泄露(可能它可能会显示在未加密/boot/分区上的 initrd 映像中?)。
答案1
这并不是你正在寻找的信息,但如果你将第二个磁盘的密码存储在 SSD 上已加密的根文件系统的密钥文件中,并在 /etc/crypttab 文件中引用它此信息可能有帮助:我刚刚检查过,密钥不在 initrd 文件中。据我所知,它仅安全地存储在加密的根文件系统中,因此此选项毕竟可能是安全的。
答案2
作为参考,这个指南对我来说非常有用: https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive-on-ubuntu-14-10-post-install/
我只要按照步骤做就可以了:)