是否有任何标准解决方案可以远程重新启动加密系统而无需在下次启动时输入密码?
有问题的系统是使用 LUKS 根分区和未加密的启动分区加密的 Ubuntu。
我能想到的唯一方法是添加一个随机生成的第二个密钥,该密钥基于启动分区上的文件,并在系统启动时使用启动脚本将其删除。
上述方法有效吗?或者是否存在不需要手动操作的默认选项?
我能想到的唯一安全隐患是,以防系统在启动第一个服务之前启动失败。
答案1
您可以设置一个带有最小 sshd 的 initrd(想到了 dropbear),然后连接到它并手动输入密码。或者您可以查看曼陀罗请记住,如果有人可以物理访问您的服务器,并且可以在您不知情的情况下替换启动代码,那么无论如何您都会完蛋