저는 Grub 및 initramfs와 함께 Luks를 사용하여 하드 드라이브를 암호화합니다. 누군가가 내 SSD를 꺼내서 다른 곳에 넣거나 복제하여 SSD에 들어가려고 할 수 있다는 의심을 남기고 싶지 않습니다.
현재 정적 키 파일과 비밀번호가 있습니다. 이를 돕기 위해 UUID + 무작위 솔트/키 + 해시되지 않은 비밀번호의 luk로 구성된 키 파일로 반환된 해시 값을 생성하는 bash 파일을 원합니다. 액세스는 다른 해시된 비밀번호로 구성됩니다.
내가 해시되지 않았다고 말하는 이유는 누구에게나 유용할 수 있는 어떤 것도 헤더에서 검색하고 싶지 않기 때문이며, 이 세 가지가 내가 하드웨어를 꺼내는 모든 첨부 파일을 쓸모없게 만들 만큼 충분히 강력하다고 느끼기 때문입니다. 이렇게 하면 누군가가 키 파일(비상 쉘에 갇혔을 때 이상하게도 나에게 일어났던 일)을 발견하더라도 본질적으로 쓸모가 없습니다.
이 작업을 수행하기 위해 bash 스크립트를 작성할 수 있으며 luks 비밀번호를 변경하는 경우에도 마찬가지입니다. 하지만 현재 제가 사용하고 있는 부분은 Grub의 끝에 있습니다. GRUB_CMDLINE_LINUX특히 cryptkey=rootfs:/path/to/file를 사용하려면 bash 스크립트를 실행해야 합니다.
initramfs의 FILES경우 /etc/mkinitcpio.conf.
이것이 가능합니까, 아니면 이것을 달성하기 위해 다른 것이 필요합니까? 나는 이것에 대해 약간 확신이 없으며 실질적인 내용을 찾을 수 없습니다.
미리 감사드립니다.
답변1
GRUB_CMDLINE_LINUXor 을 사용하여 이 작업을 수행하는 것이 가능하지 않다고 생각합니다 initramfs. 예를 들어 USB 드라이브에서 스크립트를 실행하는 데 사용할 수 있는 PBA(사전 부팅 인증) 도구를 사용할 수 있지만 TrustedGRUB그렇게 하면 반드시 안전하지는 않은 USB 드라이브의 무결성에 의존하게 됩니다.
또 다른 옵션은 YubiKey와 같은 보안 요소에 저장된 키 파일을 사용하는 것입니다. 이는 물리적인 공격에 덜 취약하므로 USB 드라이브를 사용하는 것보다 더 안전합니다.