web-dev-qa-db-ja.com

LUKSパーティションを復号化せずに再起動しますか?

暗号化されたLUKSルートファイルシステムを復号化せずに、実行中のカーネルをkexec再起動する方法はありますか?

私はそうは思いませんが、これに対する回避策があるかどうかはわかりません。

12
Naftuli Kay

私の他の答えが何らかの理由で要件を満たしていない場合(たとえば、ボリュームにキーファイルが必要ない、または/bootが暗号化されていないなど)、このプロジェクトをお勧めします: https: //github.com/flowztul/keyexec

2
Zulakis

Grub2はLUKSで暗号化されたボリュームの復号化をサポートしているので、あなたの/bootパーティションも暗号化されます。これは、邪悪なメイド 攻撃 も阻止します。

この場合、initramfs内のボリュームを復号化できるキーを安全に使用できます。これで、kexecがinitramfsをramにロードすると、新しいカーネルをロードするときにパーティションを復号化できるようになります。

このガイド initramfs内にluksキーファイルを設定するため、これにより、キーフレーズを2回入力する必要があるという問題も解決されます(最初はgrubで、2番目はinitramfsのロード時)。

0
Zulakis