LUKSパーティションを復号化せずに再起動しますか?

LUKSパーティションを復号化せずに再起動しますか?

kexec暗号化されたLUKSルートファイルシステムを復号化せずに実行中のカーネルを再起動する方法はありますか?

そうではありませんが、解決策があるかどうかはわかりません。

答え1

私の他の答えが何らかの理由であなたの要件を満たしていない場合(たとえば、ボリュームにキーファイルが必要ない場合、またはボリュームが暗号化されてい/bootない場合)、このプロジェクトをお勧めします。https://github.com/flowztul/keyexec

答え2

grub2はLUKS暗号化ボリュームの復号化をサポートしているため、パーティションも暗号化されていると/boot想定しています。これはまたいくつかの邪悪なメイドを抑制します。攻撃

この場合、initramfs内でボリュームを復号化できるキーを安全に持つことができます。 kexecがinitramfsをRAMにロードすると、新しいカーネルのロード中にパーティションの復号化が可能になります。

なぜならこのガイドinitramfs内にluksキーファイルを設定すると、コアフレーズを2回入力する必要があるという問題も解決されます(最初はgrubで、2番目はinitramfsがロードされたとき)。

関連情報