Linuxラップトップには、2つのディスクがあります。1つは大型の従来型HDDで、もう1つは小型ですが高速なSSDです。
SSDには、暗号化されていない小さな/boot
-カーネル、initrdイメージ、およびGRUBを含むパーティションがあります。残りのすべてのもの(Linux /
、swap
、/home
、...を含む)は2つになっています [〜#〜] luks [〜#〜] =暗号化された疑似デバイス。これらは、/etc/crypttab
のエントリを使用して起動時に開始されます。すべてが正常に機能します。
ただし、起動中に2つのパスフレーズを入力して、両方のLUKSコンテナをアクティブ化する必要があります。
両方のディスクに同じパスフレーズを使用したので、起動時にパスフレーズを1回だけ入力することで、両方のディスクを起動できる賢くて安全な方法を探しています。何か案は?
SSD上のすでに暗号化されたルートファイルシステムのキーファイルに2番目のディスクのパスフレーズを保存し、それを/etc/crypttab
ファイルで参照できることはすでに知っています。しかし、このキーファイルが何らかの形でリークする可能性があるのではないかと心配しています(暗号化されていない/boot/
パーティションのinitrdイメージに表示される可能性がありますか?)。
それはあなたが探している情報ではありませんが、もしあなたがSSD上のすでに暗号化されたルートファイルシステムのキーファイルに2番目のディスクのパスフレーズを保存し、/ etc/crypttabファイルでそれを参照するこれ情報が役立つ場合があります:チェックしたところ、キーがinitrdファイルに存在しません。 AFAIK、暗号化されたルートファイルシステムにのみ安全に保存されるため、このオプションは結局のところ安全なオプションである可能性があります。