有没有任何标准的解决scheme来重新启动encryption系统,而不需要在下次启动时input密码?
有问题的系统是用LUKS根分区和未encryption的启动分区encryption的Ubuntu。
我能想象的唯一方法是添加一个随机生成的第二个密钥,该密钥基于启动分区上的一个文件,并在系统启动时使用启动脚本将其删除。
上述方法是否有效? 还是有一个不需要手动方法的默认选项?
我能想到的唯一的安全隐含是,如果系统在启动第一个服务之前确实启动失败。
你可以用一个最小的sshd来设置一个initrd(想起dropbear),然后连接到它并手动input密码。 或者你可以看看曼多斯 。 请记住,如果有人能够物理访问您的服务器,并且可以在不知情的情况下replace引导代码,那么无论如何您都可以游戏