Anda mungkin dapat membuat initramfs kedua dengan file kunci tertanam yang disimpan pada volume terenkripsi. Setidaknya ini akan memecahkan prompt kata sandi. Sama seperti jawaban pertama sekarang setelah saya membacanya dengan benar
tom
Jawaban:
2
Jika jawaban saya yang lain karena suatu alasan tidak memenuhi persyaratan Anda (mis. Karena Anda tidak ingin keyfile pada volume Anda atau Anda /boottidak dienkripsi), saya juga dapat merekomendasikan proyek ini: https://github.com/flowztul/keyexec
Karena grub2 mendukung mendekripsi volume yang dienkripsi LUKS, saya akan menganggap bahwa /bootpartisi Anda juga dienkripsi. Ini juga menggagalkan beberapa serangan pelayan-jahat .
Jika demikian, Anda dapat dengan aman memiliki kunci yang dapat mendekripsi volume di dalam initramfs Anda. Sekarang, ketika kexec memuat initramfs Anda ke dalam ram, itu akan dapat mendekripsi partisi Anda saat memuat kernel baru.
Karena panduan ini untuk membuat file key luks di dalam initramfs, yang juga memecahkan masalah harus memasukkan frasa sandi dua kali (pertama di grub, kedua ketika initramf sedang memuat).
Jawaban:
Jika jawaban saya yang lain karena suatu alasan tidak memenuhi persyaratan Anda (mis. Karena Anda tidak ingin keyfile pada volume Anda atau Anda
/boottidak dienkripsi), saya juga dapat merekomendasikan proyek ini: https://github.com/flowztul/keyexecsumber
Karena grub2 mendukung mendekripsi volume yang dienkripsi LUKS, saya akan menganggap bahwa
/bootpartisi Anda juga dienkripsi. Ini juga menggagalkan beberapa serangan pelayan-jahat .Jika demikian, Anda dapat dengan aman memiliki kunci yang dapat mendekripsi volume di dalam initramfs Anda. Sekarang, ketika kexec memuat initramfs Anda ke dalam ram, itu akan dapat mendekripsi partisi Anda saat memuat kernel baru.
Karena panduan ini untuk membuat file key luks di dalam initramfs, yang juga memecahkan masalah harus memasukkan frasa sandi dua kali (pertama di grub, kedua ketika initramf sedang memuat).
sumber