암호화되지 않은 커널 이미지와 NAND 플래시의 initramfs가 포함된 임베디드 Linux 시스템이 있습니다. 내 RootFS는 SD 카드에 있습니다.
내 SD 카드는 물리적으로 쉽게 액세스할 수 있으므로 SD 카드의 일부 파일을 암호화하고 싶습니다.
이를 위해 eCryptfs를 사용할 계획입니다.
하지만 커널 이미지나 initramfs에 NAND 플래시의 키를 보관하고 싶습니다. 내 옵션은 무엇이며 SD 카드의 특정 파일을 보호하는 가장 좋은 방법은 무엇입니까?
답변1
당신이 가지고 있지 않다면파일 시스템 초기화, 커널 매개변수를 사용하여 이 작업을 수행할 수 있습니다. 커널 매개변수로 임의의 문자열을 추가하고 이를 /proc/cmdline암호화용 키로 사용하면 됩니다. 이러한 매개변수를 부트로더에 추가하는 것이 쉽지 않은 경우 Linux 커널에는 CMDLINE이를 컴파일할 수 있는 구성 옵션이 있습니다. (참고: 커널 매개변수가 로그 파일 등에 포함될 수 있습니다. 시나리오에 적합한지 여부는 SD 카드에서 실행/기록되는 항목에 따라 다릅니다.)
그리고파일 시스템 초기화, 물론 당신이 원하는 것은 무엇이든 자유롭게 할 수 있습니다. 시작할 때 비밀번호를 묻거나, 키를 포함하거나, 암호화 키를 사용하여 두 가지 작업을 모두 수행할 수 있습니다. 그것은 귀하에게 달려 있지만 구체적인 구현은 귀하에 따라 다릅니다.파일 시스템 초기화그런 수정은 없는 것 같습니다. 다양하게 보실 수 있어요파일 시스템 초기화작동 방식을 이해하기 위한 온라인 가이드는 다음과 같습니다.https://wiki.gentoo.org/wiki/Custom_Initramfs
SD 카드에 암호화되지 않은 키 사본을 남기지 않도록 주의하세요. 사본도 있어야 합니다.어딘가에왜냐하면 기기가 손상되면 NAND에서 분리하기 어려울 수 있기 때문입니다.