我有一台物理服务器,想为其配置全盘加密。
首先,我尝试使用虚拟机(CentOS7)并在安装过程中启用它:
重新启动时,我收到以下提示并可以成功解锁驱动器:
[root@srv~]# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 20G 0 disk
├─sda1 8:1 0 1G 0 part /boot
└─sda2 8:2 0 19G 0 part
└─luks-9ca13c53-317d-42c5-a3ea-c6039274bf38 253:0 0 19G 0 crypt
├─centos_otrs-root 253:1 0 17G 0 lvm /
└─centos_otrs-swap 253:2 0 2G 0 lvm [SWAP]
sr0 11:0 1 1024M 0 rom
AFAICSboot分区未加密。我怎样才能执行真正的全磁盘加密,并且仍然能够使用 crypt-ssh dracut 模块通过 ssh 远程解锁具有磁盘加密的系统。
谢谢!
答案1
从https://mirrors.edge.kernel.org/pub/linux/utils/boot/dracut/dracut.html#_crypto_luks
dracut --add ssh initramfs.img
dracut --add crypt initramfs.img