Riavvia senza dover decrittografare le partizioni LUKS?

12

Esiste un modo per kexecriavviare un kernel in esecuzione senza dover decrittografare un filesystem di root LUKS crittografato?

Immagino di no, ma non sono sicuro che ci sia una soluzione per questo.

luks  kexec 
Naftuli Kay
fonte
Potresti essere in grado di creare un secondo initramfs con un file chiave incorporato che è archiviato nel volume crittografato. Ciò risolverebbe almeno la richiesta della password. Proprio come la prima risposta, ora che ho letto correttamente
tom

Risposte:

2

Se la mia altra risposta per qualche motivo non soddisfa i tuoi requisiti (ad esempio perché non vuoi un file di chiavi sul tuo volume o non sei /bootcrittografato), posso anche consigliare questo progetto: https://github.com/flowztul/keyexec

Zulakis
fonte
0

Poiché grub2 supporta la decrittografia dei volumi crittografati LUKS, suppongo che anche la tua /bootpartizione sia crittografata. Questo ostacola anche alcuni attacchi da cameriera cattiva .

In questo caso, puoi tranquillamente avere una chiave che può decrittografare il volume all'interno di initramfs. Ora, quando kexec carica i tuoi initramfs in ram, sarà in grado di decrittografare la tua partizione durante il caricamento del nuovo kernel.

Perché questa guida per impostare un file di chiavi luks all'interno di initramfs, risolve anche il problema di dover inserire due volte la frase chiave (prima in grub, seconda quando si sta caricando initramfs).

Zulakis
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.