initrd/initramfsなしで暗号化されたルートパーティションからLinuxを起動する

initrd/initramfsなしで暗号化されたルートパーティションからLinuxを起動する

initrd/initramfsなしでLinuxを起動することは、単純なMBR / GPTパーティションがある場合にうまく機能します。root=/dev/deviceカーネルにストレージを使用するために必要なモジュールが含まれているので、接続するだけです。

LUKSを使用してルートパーティションを暗号化するときに同じ目標を試したり達成した人はいますか?これを行った場合は、詳細を共有してください。

答え1

LUKS を使用する場合は、ユーザーに暗号化パスワードを要求する一種のユーザー・インターフェース・コンポーネントが必要です。それ以外の場合は、スマートカード、キーファイル固有のリムーバブルメディアを使用して暗号化のロックを解除するために必要なキーデータを取得します。またはTPMチップ。

デフォルトのLinuxカーネルには、ユーザースペースコードを使用してユーザーと対話する方が簡単なため、これらの機能のためのユーザーインターフェースはありません。したがって、暗号化されたルートファイルシステムでは、initrd / initramfsの使用が事実上必須です。

暗号化を処理できるブートローダー(最新のGRUBバージョンなど)を使用している場合は、initramfsファイルがある場所を暗号化することもできます。

セキュリティを強化するために、パーティションをブータブルリムーバブル/bootメディアに別々のパーティションとして保持し、そのメディアをコンピュータの「ブートキー」として使用して、効果的に追加の認証要素にすることもできます。

関連情報