Neustart ohne LUKS-Partitionen entschlüsseln zu müssen?

12

Gibt es eine Möglichkeit, kexeceinen laufenden Kernel neu zu starten, ohne ein verschlüsseltes LUKS-Root-Dateisystem entschlüsseln zu müssen?

Ich würde es mir nicht vorstellen, aber ich bin mir nicht sicher, ob es dafür eine Problemumgehung gibt.

Naftuli Kay
quelle
Möglicherweise können Sie ein zweites Initramfs mit einer eingebetteten Schlüsseldatei erstellen, die auf dem verschlüsselten Volume gespeichert ist. Dies würde zumindest die Passwortabfrage lösen. Genau wie die erste Antwort jetzt, wo ich sie richtig gelesen habe
Tom

Antworten:

2

Wenn meine andere Antwort aus irgendeinem Grund nicht Ihren Anforderungen entspricht (z. B. weil Sie keine Schlüsseldatei auf Ihrem Volume möchten oder Ihre /bootnicht verschlüsselt ist), kann ich dieses Projekt auch empfehlen: https://github.com/flowztul/keyexec

Zulakis
quelle
0

Da grub2 das Entschlüsseln von LUKS-verschlüsselten Volumes unterstützt, gehe ich davon aus, dass Ihre /bootPartition ebenfalls verschlüsselt ist. Dies verhindert auch einige Angriffe böser Dienstmädchen .

In diesem Fall können Sie sicher über einen Schlüssel verfügen, mit dem das Volume in Ihrem initramfs entschlüsselt werden kann. Wenn kexec jetzt Ihre initramfs in ram lädt, kann es Ihre Partition beim Laden des neuen Kernels entschlüsseln.

Denn diese Anleitung zum Einrichten einer luks-Schlüsseldatei innerhalb des initramfs löst auch das Problem, dass die Schlüsselphrase zweimal eingegeben werden muss (erstens in grub, zweitens, wenn das initramfs geladen wird).

Zulakis
quelle