Reiniciar sem ter que descriptografar partições LUKS?

12

Existe uma maneira de kexecreiniciar um kernel em execução sem precisar descriptografar um sistema de arquivos raiz LUKS criptografado?

Eu imagino que não, mas não tenho certeza se há uma solução alternativa para isso.

Naftuli Kay
fonte
Você pode criar um segundo initramfs com um arquivo de chave incorporado armazenado no volume criptografado. Isso resolveria pelo menos o prompt da senha. Assim como a primeira resposta agora que eu lê-lo corretamente
tom

Respostas:

2

Se, por algum motivo, minha outra resposta não atender aos seus requisitos (por exemplo, porque você não deseja um arquivo de chaves no seu volume ou o seu /bootnão está criptografado), também posso recomendar este projeto: https://github.com/flowztul/keyexec

Zulakis
fonte
0

Como o grub2 suporta a descriptografia de volumes criptografados por LUKS, assumirei que sua /bootpartição também foi criptografada. Isso também impede alguns ataques de donzelas do mal .

Se for esse o caso, você pode ter com segurança uma chave que pode descriptografar o volume dentro do seu initramfs. Agora, quando o kexec carregar seu initramfs no ram, ele poderá descriptografar sua partição ao carregar o novo kernel.

Como este guia configura um arquivo de chaves luks dentro do initramfs, o que também resolve o problema de ter que digitar a frase-chave duas vezes (primeiro no grub, depois no carregamento do initramfs).

Zulakis
fonte