无需解密 LUKS 分区即可重新启动?

无需解密 LUKS 分区即可重新启动?

有没有一种方法可以kexec重新启动正在运行的内核,而无需解密加密的 LUKS 根文件系统?

我想不会,但我不确定是否有解决方法。

答案1

如果我的其他答案由于某种原因不能满足您的要求(例如,因为您不希望卷上有密钥文件或者您的卷/boot未加密),我还可以推荐这个项目:https://github.com/flowztul/keyexec

答案2

由于 grub2 支持解密 LUKS 加密卷,因此我假设您的/boot分区也已加密。这也阻止了一些邪恶的女仆攻击

如果是这种情况,您可以安全地拥有一个可以解密 initramfs 内的卷的密钥。现在,当 kexec 将 initramfs 加载到 ram 中时,它将能够在加载新内核时解密您的分区。

因为本指南在 initramfs 内部设置一个 luks 密钥文件,这也解决了必须输入两次密钥短语的问题(第一次在 grub 中,第二次在 initramfs 加载时)。

相关内容