- 主题:[求助]linux系统全盘加密,启动时,可以远程输入密码吗?
普通家用台式机,安装openSUSE选择了luks加密,每次开机时,在grub引导需要输入密码才能开机。
看样子是把除了EFI以外的分区用luks加密了,开机时用grub引导就会提示输入密码解密。这种情况下,远程开机就会卡在输入密码这一步。
请问这种情况有没有办法远程输入密码什么的,解决远程开机问题。
--
FROM 59.40.10.*
这种是grub所在的boot目录也一起被luks加密了,因此必须在启动时先从efi引导一段grub,这段grub先解密boot所在分区,然后从boot加载全功能的grub以及grub菜单,最后加载内核,启动linux。
--
FROM 59.40.10.*
这样得自己做个initrd.img了吧,有没有成熟的方案,就是make一下就好的。
【 在 Dazzy 的大作中提到: 】
: 可以研究一下TPM-backed Full Disk Encryption
: 或者有个很丑陋的办法,initrd里放个支持网络连接的最小系统,搞个dropbear,接收用户输入的磁盘解密密码,再继续启动。
:
: ...................
--
FROM 223.73.3.*
找到安装包了,搜了下,感觉这个先是从boot加载内核和initrd,远程解密luks分区后,引导加载linux。
目前我的情况是只有2个分区,一个efi,一个luks,boot没有独立出来,启动上来就是grub输入luks密码的界面,这种情况有还有没有救。
【 在 Dazzy 的大作中提到: 】
: 可以研究一下TPM-backed Full Disk Encryption
: 或者有个很丑陋的办法,initrd里放个支持网络连接的最小系统,搞个dropbear,接收用户输入的磁盘解密密码,再继续启动。
:
: ...................
--
FROM 223.73.3.*
没办法,家用机,没有idrac这种高级玩意哈。
【 在 lcgogo 的大作中提到: 】
: dell服务器有idrac远控
:
--
FROM 223.73.3.*
多谢,我在debian上实现了,update-initramfs就可以了。
【 在 cppbuilder 的大作中提到: 】
: dracut
--
FROM 223.73.3.*
嗯,我在Debian上实现了,安装个dropbear-initramfs就可以了。
initrd.img的体积大了20M。
【 在 JulyClyde 的大作中提到: 】
: 都支持网络了,已经不算小了
--
FROM 223.73.3.*
多谢!我在debian上装dropbear,可以远程解密了,suse的等周末研究下。
TPM-backed Full Disk Encryption是不是主板上的TPM?我有老主板和新主板,不知道是否都支持。
【 在 Dazzy 的大作中提到: 】
: 可以研究一下TPM-backed Full Disk Encryption
: 或者有个很丑陋的办法,initrd里放个支持网络连接的最小系统,搞个dropbear,接收用户输入的磁盘解密密码,再继续启动。
:
: ...................
--
FROM 223.73.3.*
今天在另外的机器上安装了dropbear,体积并没有增大20M,可能是之前统计错误。
另外还有个wireguard-initramfs,配合dropbear可以wireguard到指定机器上。
【 在 ttaudi 的大作中提到: 】
: 嗯,我在Debian上实现了,安装个dropbear-initramfs就可以了。
: initrd.img的体积大了20M。
:
--
FROM 74.82.204.*