kexec
암호화된 LUKS 루트 파일 시스템을 해독하지 않고 실행 중인 커널을 재부팅하는 방법이 있습니까 ?
아닌 것 같지만 해결책이 있는지 확실하지 않습니다.
답변1
내 다른 답변이 어떤 이유로든 귀하의 요구 사항을 충족하지 못하는 경우(예: 볼륨에 키 파일을 원하지 않거나 볼륨이 /boot
암호화되지 않은 경우) 이 프로젝트를 추천할 수도 있습니다.https://github.com/flowztul/keyexec
답변2
grub2는 LUKS 암호화 볼륨의 암호 해독을 지원하므로 파티션 /boot
도 암호화되어 있다고 가정합니다. 이것은 또한 일부 사악한 하녀를 억제합니다.공격.
이 경우 initramfs 내에서 볼륨을 해독할 수 있는 키를 안전하게 가질 수 있습니다. 이제 kexec가 initramfs를 램에 로드하면 새 커널을 로드하는 동안 파티션의 암호를 해독할 수 있습니다.
왜냐하면이 가이드initramfs 내부에 luks 키 파일을 설정하면 핵심 문구를 두 번 입력해야 하는 문제도 해결됩니다(첫 번째는 grub에서, 두 번째는 initramfs가 로드될 때).