Nyalakan ulang tanpa harus mendekripsi partisi LUKS?

12

Apakah ada cara untuk kexecme-reboot kernel yang sedang berjalan tanpa harus mendekripsi sistem file root LUKS terenkripsi?

Saya membayangkan tidak, tapi saya tidak yakin apakah ada solusi untuk ini.

Naftuli Kay
sumber
Anda mungkin dapat membuat initramfs kedua dengan file kunci tertanam yang disimpan pada volume terenkripsi. Setidaknya ini akan memecahkan prompt kata sandi. Sama seperti jawaban pertama sekarang setelah saya membacanya dengan benar
tom

Jawaban:

2

Jika jawaban saya yang lain karena suatu alasan tidak memenuhi persyaratan Anda (mis. Karena Anda tidak ingin keyfile pada volume Anda atau Anda /boottidak dienkripsi), saya juga dapat merekomendasikan proyek ini: https://github.com/flowztul/keyexec

Zulakis
sumber
0

Karena grub2 mendukung mendekripsi volume yang dienkripsi LUKS, saya akan menganggap bahwa /bootpartisi Anda juga dienkripsi. Ini juga menggagalkan beberapa serangan pelayan-jahat .

Jika demikian, Anda dapat dengan aman memiliki kunci yang dapat mendekripsi volume di dalam initramfs Anda. Sekarang, ketika kexec memuat initramfs Anda ke dalam ram, itu akan dapat mendekripsi partisi Anda saat memuat kernel baru.

Karena panduan ini untuk membuat file key luks di dalam initramfs, yang juga memecahkan masalah harus memasukkan frasa sandi dua kali (pertama di grub, kedua ketika initramf sedang memuat).

Zulakis
sumber