¿Reiniciar sin tener que descifrar particiones LUKS?

12

¿Hay alguna manera de kexecreiniciar un núcleo en ejecución sin tener que descifrar un sistema de archivos raíz LUKS cifrado?

Me imagino que no, pero no estoy seguro de si hay una solución para esto.

Naftuli Kay
fuente
Es posible que pueda crear un segundo initramfs con un archivo de clave incrustado que se almacena en el volumen cifrado. Esto al menos resolvería la solicitud de contraseña. Justo como la primera respuesta ahora que lo leí correctamente
tom

Respuestas:

2

Si mi otra respuesta no cumple con sus requisitos por alguna razón (por ejemplo, porque no desea un archivo de claves en su volumen o /bootno está encriptado), también puedo recomendar este proyecto: https://github.com/flowztul/keyexec

Zulakis
fuente
0

Como grub2 admite descifrar volúmenes cifrados con LUKS, supondré que su /bootpartición también está cifrada. Esto también frustra algunos ataques de malvadas criadas .

Si este es el caso, puede tener una clave segura que puede descifrar el volumen dentro de sus initramfs. Ahora, cuando kexec carga sus initramfs en ram, podrá descifrar su partición al cargar el nuevo núcleo.

Debido a esta guía para configurar un archivo clave de luks dentro de initramfs, que también resuelve el problema de tener que ingresar la frase clave dos veces (primero en grub, segundo cuando se carga initramfs).

Zulakis
fuente