是否可以远程解锁受密码保护的 grub 加载程序?对于LUKS加密磁盘,我可以使用dropbear-initramfsDebian中安装的软件包进行解锁,其中dropbear将运行自定义侦听端口,以便我可以使用它远程解锁LUKS加密磁盘。我想知道,对于 grub 密码保护的引导加载程序是否有任何解决方案?
答案1
我可能是错的,但我认为向 GRUB2 添加网络服务器功能超出了该项目的范围。您想要受密码保护的 GRUB 的想法是您希望强制有人坐在计算机前输入该密码!
正如您所指出的,如果您想要加密磁盘,但需要网络访问,则包含某种服务器的 initramfs 是最佳选择。为了确保本地用户无法更改引导设备,您可以使用 secureboot,以便硬件一开始就不会加载未签名的引导加载程序,然后您可以锁定引导加载程序以仅引导您批准的系统。
我想如果你想在现代系统上进行受密码保护的启动(阅读:过去 10 年左右),那么不是依赖 GRUB 可能是制胜之举:您之所以问这个问题,很可能是因为您处于公司或服务器环境中。您的计算机很可能配备了 BMC(主板管理控制器),即使操作系统没有运行,您也可以使用它来关闭、启动、监控……您的计算机。它们的典型特征是为下一次 UEFI 启动选择一个已启动的系统,然后重新启动主 CPU。这样,您可以简单地将其配置为不是自行启动,并要求远程登录或本地人员使用密码更改下一个启动的系统。
答案2
您可以使用 TPM(如果系统支持)或 IP KVM。