私はGrubとinitramfsでLuksを使ってハードドライブを暗号化します。誰かが私のSSDを取り出し、別の場所に置いたり複製してSSDに入ろうとする可能性があるという疑いを残したくありません。
現在、静的キーファイルとパスワードがあります。これを助けるために、UUID +ランダムソルト/キー+ハッシュされていないパスワードのlukで構成されるキーファイルとして返されるハッシュ値を生成するbashファイルが必要です。アクセスは、他のハッシュされたパスワードで構成されます。
私がハッシュされていないと言うのは、誰にとっても役に立つ可能性があるものをヘッダーで検索したくないからです。これにより、誰かがキーファイル(緊急シェルに閉じ込められたときに奇妙なことに私に起こったこと)を見つけても、本質的に役に立ちません。
これを行うためにbashスクリプトを書くことができ、luksのパスワードを変更しても同じです。しかし、現在私が使っている部分はGrubの終わりにあります。GRUB_CMDLINE_LINUX
特にcryptkey=rootfs:/path/to/file
を使用するには、bashスクリプトを実行する必要があります。
initramfsのFILES
場合/etc/mkinitcpio.conf
。
これは可能ですか、それともこれを達成するために別のものが必要ですか?私はこれについて少し自信がなく、実際の内容が見つかりません。
よろしくお願いします。
答え1
GRUB_CMDLINE_LINUX
orを使ってこれを行うことはできないと思いますinitramfs
。たとえば、USBドライブでスクリプトを実行するために使用できる事前ブート認証(PBA)ツールを使用できますが、これは必ずしもTrustedGRUB
安全ではないUSBドライブの整合性に依存します。
別のオプションは、YubiKeyなどのセキュリティ要素に格納されているキーファイルを使用することです。これは物理的な攻撃に対して脆弱ではなく、USBドライブを使用するよりも安全です。