暗号化された/および/boot Luksをロック解除するためにキーファイルを使用するようにgrub2を設定します。

暗号化された/および/boot Luksをロック解除するためにキーファイルを使用するようにgrub2を設定します。

私はそれを使用していますSUSEを開くそして、完全なディスク暗号化とキーファイルを持つUSBデバイスを使用してシステムを復号化しようとしています。私のシステム全体が同じように暗号化されました。ルクスコンテナ(含む/boot)。暗号化されているため、/bootgrub2はそれを復号するためにパスワードが必要です。 grubにパスワードを提供すると、initrdはkeyfileを使用してシステムのパスワードを復号化できますが、/dev/disk/by-partlabel/keygrubはinitrdステップに入るにはまだパスワードが必要です。

パスワードを必要としないようにこのキーファイルを使用するようにgrub2を設定するにはどうすればよいですか?このコンピュータはSSH経由でアクセスでき、キーボードとモニタは利用できません。必要に応じて、キーパーティションを使用する代わりに、キーファイルを正しいファイルシステムに配置できます。

btrfsファイルシステムの残りの部分とスナップショットを撮ることができるように、システムの残りの部分と一緒に暗号化する必要があり、/boot破損時にOS全体(カーネルを含む)を動作状態に復元できます。

答え1

私の知る限り、この機能はまだ正式にリリースされていません。

あなたは見ることができますこのウェブサイト:(およびそのGitリポジトリ)。

Grub cryptomountコマンドはLUKSボリュームをマウントできます。この拡張は、別々のヘッダーとキーファイルをサポートし、その機能を強化します。汎用 DMCrypt ボリュームのサポートも追加されました。

これにより、LUKSボリュームとDMCryptボリュームからの起動が可能になります。 LUKS ヘッダーを分離して、リムーバブル USB キーなどの別々のデバイスに保存できます。対話型パスワード入力の代わりに、同様の方法でキーファイルを保存して使用できます。

この拡張は、次の機能も追加します。

  • ハイフンが含まれるか含まれていないボリューム UUID を指定できます。
  • 指定されたパスワードまたはキーファイルを使用してLUKSボリュームのロックを解除できなかった後にユーザーにパスワードを入力する2番目の機会を提供します。

[...]

パッチアップストリームの適用方法に関するガイダンスが提供されます。上記の7つのパッチをSuSe .src.rpmに統合し、パッケージ(そしてそれが意味するもの:ビルドツール、ソース依存関係など)を再構築する方が良いですが、これはこの答えの範囲外です。

指示:

  • 私はそれをテストしていません。
  • 2018年には一部の作業が中断されたようです。フォーク最新です。
  • 限定:

自動構成なし

この拡張は、いかなる方法でもGrubの自動設定(grub-mkconfigなど)を変更しません。拡張オプションを使用してgrub.cfgを手動で設定する必要があります。

関連情報