无需解密 LUKS 分区即可重新启动？

Question 1

如果我的其他答案由于某种原因不能满足您的要求（例如，因为您不希望卷上有密钥文件或者您的卷/boot未加密），我还可以推荐这个项目：https://github.com/flowztul/keyexec

Answer

如果我的其他答案由于某种原因不能满足您的要求（例如，因为您不希望卷上有密钥文件或者您的卷/boot未加密），我还可以推荐这个项目：https://github.com/flowztul/keyexec

Question 2

由于 grub2 支持解密 LUKS 加密卷，因此我假设您的/boot分区也已加密。这也阻止了一些邪恶的女仆攻击。

如果是这种情况，您可以安全地拥有一个可以解密 initramfs 内的卷的密钥。现在，当 kexec 将 initramfs 加载到 ram 中时，它将能够在加载新内核时解密您的分区。

因为本指南在 initramfs 内部设置一个 luks 密钥文件，这也解决了必须输入两次密钥短语的问题（第一次在 grub 中，第二次在 initramfs 加载时）。

Answer

由于 grub2 支持解密 LUKS 加密卷，因此我假设您的/boot分区也已加密。这也阻止了一些邪恶的女仆攻击。

如果是这种情况，您可以安全地拥有一个可以解密 initramfs 内的卷的密钥。现在，当 kexec 将 initramfs 加载到 ram 中时，它将能够在加载新内核时解密您的分区。

因为本指南在 initramfs 内部设置一个 luks 密钥文件，这也解决了必须输入两次密钥短语的问题（第一次在 grub 中，第二次在 initramfs 加载时）。

相关内容