我对启动时解密加密设备的行为有疑问。
我使用两种不同的 Debian 11 安装。一种是无任何 GUI 的无头服务器安装,另一种是使用 LXQt 作为桌面环境的普通桌面安装。两个系统都有加密的根和交换分区以及加密的启动分区。在服务器上,根位于加密分区顶部的 LVM 卷上。
现在,当我启动服务器时,grub 首先要求我解锁启动分区。然后在 initramfs 阶段,系统要求我解锁根分区,之后在 init 阶段,系统当然要求我再次解锁启动分区。但是,当我启动桌面安装时,直到解锁根分区为止的所有内容都相同,但之后在 init 阶段不再要求我输入启动分区的密码。相反,启动会自动加密,无需任何输入即可挂载。
这是我不明白的。有什么区别,这样就不需要第二次输入密码了?
答案1
您的桌面可能正在使用额外的密钥文件。当您解锁根分区时,可以使用此密钥文件解锁启动分区而无需输入密码。我个人不喜欢在主机运行时将未加密的密钥放在文件系统上,但它可以在启动时节省输入时间。
加密分区有多个插槽,可以填充密码或密钥文件,这样多个用户就可以访问系统而无需共享密码。密钥文件可用于通过插入 USB 驱动器或智能卡来启用访问权限。