답변:
내 다른 답변이 어떤 이유로 든 요구 사항을 충족하지 못하는 경우 (예 : 볼륨의 키 파일을 원하지 /boot
않거나 암호화 되지 않았기 때문에 )이 프로젝트를 추천 할 수도 있습니다 : https://github.com/flowztul/keyexec
grub2는 LUKS 암호화 볼륨의 암호 해독을 지원하므로 /boot
파티션도 암호화되어 있다고 가정하겠습니다 . 이것은 또한 일부 악의적 인 공격을 막습니다 .
이 경우 initramfs 내부의 볼륨을 해독 할 수있는 키를 안전하게 가질 수 있습니다. 이제 kexec가 initramfs를 ram에로드 할 때 새 커널을로드 할 때 파티션을 해독 할 수 있습니다.
이 안내서 는 initramfs 내부에 luks 키 파일을 설정하기 때문에 키 프레이즈를 두 번 입력해야하는 문제를 해결합니다 (첫 번째는 grub에서, 두 번째는 initramfs가로드 될 때).