LUKS विभाजन को डिक्रिप्ट किए बिना रिबूट?

12

kexecएक एन्क्रिप्टेड LUKS रूट फाइल सिस्टम को डिक्रिप्ट किए बिना एक रनिंग कर्नेल को रीबूट करने का एक तरीका है ?

मुझे लगता है कि नहीं होगा, लेकिन मुझे यकीन नहीं है कि इसके लिए वर्कअराउंड है।

luks  kexec 
नफ़तुली के
स्रोत
आप एक एम्बेडेड कुंजी फ़ाइल के साथ एक दूसरा initramfs बनाने में सक्षम हो सकते हैं जो एन्क्रिप्टेड वॉल्यूम पर संग्रहीत है। यह कम से कम पासवर्ड प्रॉम्प्ट को हल करेगा। बस पहले जवाब की तरह है कि मैं इसे ठीक से पढ़ता हूं
टॉम

जवाबों:

2

यदि मेरा अन्य उत्तर किसी कारण से आपकी आवश्यकताओं को पूरा नहीं करता है (जैसे कि क्योंकि आप अपने वॉल्यूम पर कीफ़ाइल नहीं चाहते हैं या आपका /bootएन्क्रिप्ट नहीं किया गया है), तो मैं इस परियोजना की सिफारिश भी कर सकता हूं: https://github.com/flowztul/keyexec

Zulakis
स्रोत
0

चूंकि ग्रब 2 एलयूकेएस-एन्क्रिप्टेड वॉल्यूम को डिक्रिप्ट करने का समर्थन करता है, इसलिए मैं मान लूंगा कि आपका /bootविभाजन एन्क्रिप्टेड है। यह कुछ दुष्ट-दासी हमलों को विफल करता है

यदि यह मामला है, तो आपके पास सुरक्षित रूप से एक कुंजी हो सकती है जो आपके इनट्रैमफैट्स के अंदर वॉल्यूम को डिक्रिप्ट कर सकती है। अब, जब kexec आपके initramfs को ram में लोड करता है, तो यह नए कर्नेल को लोड करते समय आपके विभाजन को डिक्रिप्ट कर सकेगा।

क्योंकि यह गाइड initramfs के अंदर एक ल्यूक कीफाइल स्थापित करने के लिए है, जो कि कीफ्रेज में दो बार प्रवेश करने की समस्या को हल करता है (पहले ग्रब में, दूसरा जब इनट्र्रामफ लोड हो रहा है)।

Zulakis
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.