암호화된 / 및 /boot Luks를 잠금 해제하기 위해 키 파일을 사용하도록 grub2를 구성합니다.

암호화된 / 및 /boot Luks를 잠금 해제하기 위해 키 파일을 사용하도록 grub2를 구성합니다.

나는 그것을 사용하고 있다SUSE 열기그리고 전체 디스크 암호화와 키 파일이 있는 USB 장치를 사용하여 시스템을 해독하려고 합니다. 내 전체 시스템이 같은 방식으로 암호화되었습니다.루크스컨테이너(포함 /boot). 암호화되어 있으므로 /bootgrub2는 이를 해독하기 위해 비밀번호가 필요합니다. grub에 비밀번호를 제공하면 initrd는 keyfile을 사용하여 시스템의 암호를 해독할 수 있지만 /dev/disk/by-partlabel/keygrub은 initrd 단계에 들어가려면 여전히 비밀번호가 필요합니다.

암호가 필요하지 않도록 이 키 파일을 사용하도록 grub2를 구성하려면 어떻게 해야 합니까?이 컴퓨터는 SSH를 통해 액세스할 수 있으며 키보드와 모니터는 사용할 수 없습니다. 필요한 경우 키 파티션을 사용하는 대신 키 파일을 올바른 파일 시스템에 넣을 수 있습니다.

btrfs 파일 시스템의 나머지 부분과 함께 스냅샷을 찍을 수 있도록 시스템의 나머지 부분과 함께 암호화 해야 하며 /boot손상 시 전체 OS(커널 포함)를 작동 상태로 복원할 수 있습니다.

답변1

제가 아는 한 이 기능은 아직 공식적으로 출시되지 않았습니다.

당신은 볼 수 있습니다이 웹사이트:(및 해당Git 저장소).

Grub cryptomount 명령은 LUKS 볼륨을 마운트할 수 있습니다.이 확장은 별도의 헤더와 키 파일을 지원하여 해당 기능을 향상시킵니다.일반 DMCrypt 볼륨에 대한 지원도 추가되었습니다.

이렇게 하면 LUKS 및 DMCrypt 볼륨에서 부팅이 가능해집니다. LUKS 헤더는 분리하여 이동식 USB 키와 같은 별도의 장치에 저장할 수 있습니다.대화형 암호 입력 대신 유사한 방식으로 키 파일을 저장하고 사용할 수 있습니다.

이 확장은 다음 기능도 추가합니다.

  • 하이픈이 포함되거나 포함되지 않은 볼륨 UUID를 지정할 수 있습니다.
  • 주어진 비밀번호 또는 키 파일을 사용하여 LUKS 볼륨 잠금을 해제하지 못한 후 사용자에게 비밀번호를 입력할 수 있는 두 번째 기회를 제공합니다.

[...]

패치 업스트림을 적용하는 방법에 대한 지침이 제공됩니다. 언급된 7개의 패치를 SuSe .src.rpm에 통합하고 패키지(그리고 그것이 의미하는 모든 것: 빌드 도구, 소스 종속성 등)를 다시 빌드하는 것이 더 좋지만 이는 이 답변의 범위를 벗어납니다.

지침:

  • 나는 그것을 테스트하지 않았습니다.
  • 2018년에는 일부 작업이 중단된 것으로 보입니다.포크최신입니다.
  • 한정:

자동 구성 없음

이 확장은 어떤 방식으로든 Grub의 자동 구성(예: grub-mkconfig)을 변경하지 않습니다. 확장 옵션을 사용하여grub.cfg를 수동으로 구성해야 합니다..

관련 정보