当您有简单的 MBR/GPT 分区时,在没有 initrd/initramfs 的情况下引导 Linux 工作正常,您只需附加root=/dev/device即可,因为您的内核包含使用存储所需的模块。
当使用 LUKS 加密根分区时,是否有人尝试过或实现了相同的目标?如果您已完成此操作,请分享详细信息。
答案1
当您使用 LUKS 时,您将需要某种用户界面组件,该组件将向用户请求加密密码...或者以其他方式获取解锁加密所需的密钥数据,例如使用智能卡、密钥文件特定的可移动介质或 TPM 芯片。
普通 Linux 内核没有任何此类功能的用户界面,因为使用用户空间代码更容易与用户交互。因此,对于加密的根文件系统来说,使用 initrd/initramfs 实际上是强制的。
如果您使用的引导加载程序可以处理加密(例如相当最新的 GRUB 版本),那么您还可以加密 initramfs 文件所在的位置。
为了增加安全性,您甚至可以将您的分区保留/boot为可启动可移动媒体上的单独分区,并使用该媒体作为计算机的“启动密钥”,从而有效地使其成为额外的身份验证因素。