我使用安装程序中的全盘加密选项在我的旧电脑(i386)上安装了 debian 10。
当我启动它时,直到我在屏幕上给出解密密码之前,什么都不会启动。
因此,我在启动后无法通过 ssh 连接到计算机,我确实需要物理访问。
现在有一些问题:
1) 我可以在启动后禁用加密密码请求吗?
2)应该有一种用户登录和磁盘解密在一个操作中的“合并”(奇怪的想法:-),但我在这里唯一的选择似乎是标准安装,稍后加密主分区,对吧?
2) 为什么安装程序中的全盘加密选项不允许我手动设置分区大小? (我在后来的ubuntu版本中也观察到了这一点)
谢谢你的想法!
答案1
有多种方法可以克服此限制。这是其中三个(第三个确实很难掌握和集成)。
拥有一个设备(例如 USB 密钥),其中包含用于解码 LUKS 主密钥的密码。然后 debian 可以在启动时通过 keyscript 自动使用此密钥
passdev
,以添加到 中/etc/crypttab
,如中所述/usr/share/doc/cryptsetup-run/README.Debian.gz
。如果 USB 密钥被物理窃取,则密码和加密就会受到损害。它可以添加到您当前的安装中。使用远程解锁掉落熊,其中有文档
/usr/share/doc/dropbear-initramfs/README.initramfs
:您可以在启动阶段通过ssh连接到系统,只是为了解锁LUKS主密钥。如果服务器被物理篡改并且其启动被更改,那么远程输入的密码和加密就会受到损害。它可以添加到您当前的安装中。通过一些调整,也许可以同时使用先前的方法和此方法(通常 dropbear 与通常的键盘输入同时可用)。顺便提一下,如果您感兴趣的话,这可能是最安全的方法,需要复杂的基础设施,通常是为了支持部署在不受信任的数据中心的加密服务器群:U形夹,通常与唐,它是在 Redhat 开发的(其中提供了更多文档:RHEL7,RHEL8)。两个都是 包装好的在 Debian 上,但集成可能非常复杂。它基于以下功能沙米尔的秘密分享,其中秘密分布在多个地方和其他类似特征以保持秘密......秘密。它的目标是自动远程解密 LUKS,同时更能抵御安全损害。
关于最后一个问题:您应该能够选择尺寸,但必须在没有辅助模式的情况下手动设置。 Debian 安装程序也有一些缺点:一旦使用 LUKS 和 LVM 完成分区步骤,就很难改变主意并更改它(然后通常会更快地重新开始安装)。如果您选择更改菜单中提出的问题的优先级,您可能有更多可用选项。
答案2
只是猜测:1)您无法在启动时禁用密码请求<-您的磁盘已加密,操作系统无法在不解密的情况下继续。它与进入 KDE 或 GNOME 时禁用密码请求不同,而在这种情况下,系统正在运行,让您有机会通过插入保存的凭据来自动登录您的首选用户。
2)当操作系统完全启动时,用户登录就开始起作用了!建议仅保护您的用户数据(在 /home 目录中)。
接下来 2) 如果您要求全盘加密,则您的磁盘将被整体加密。分区是在加密磁盘上创建的,因此没有理由在加密之前设置分区大小。