Добавление ключа luks в initramfs?

Question

[Bermut]

Вопрос таков, как добавить ключ luks, чтобы initramfs расшифровывал им диск, который после монтируется как root раздел системы, слышал, что такое возможно, мне нужно для того, чтобы при загрузки из bios ненужно было вводить два раза пароль, но не нашел достойных инструкций, если это и делают, то только через lvm и crypttab, но этот вариант мне не подходит, есть ли возможность реализовать это на установке с grub, bios, и таблицей mbr, система archlinux?

Comments

[Wexter]

а какой тогда смысл в шифровании?

[pfg21]

Wexter, это надо писать ответом - ибо он им будет :)

[Wexter]

pfg21, я надеялся что мне откроют какую-то тайну, о которой я не знал. но видимо не судьба

[Bermut]

Wexter, pfg21, Например, это реализованно в устнановщике manjaro, что по поводу безопасности, то для получения доступа к этому ключу нужно превдорительно разшифровать загружчик, так что ключ находится в безопасности.

[pfg21]

Bermut, хых а ключ шифрации загрузчика лежит где ??

[Wexter]

Bermut, а можно ещё раз то-же самое, но без ошибок?

[CityCat4]

Шифрование ФС без доверенной загрузки не имеет смысла. Когда Вы не контролируете состояние железа (глазами и руками, т.е. в любой момент можете "посмотри и потрогай") - Вы судите о состоянии сервера только по набору неких признаков, вовсе не обязательно отражающих его реальное состояние.

Если Вы никому не интересны, задача шифрования ФС особо не имеет смысла, потому что Вы никому не интересны.
Если Вы кому-то интересны, то пропорционально этому интересу, персонально для Вас могут сделать то-то и то-то (все очень индивидуально, зависит от того, кто Вы и какой интерес к Вам и насколько он велик)

Answer 1

[Alexey Dmitriev]

используйте TPM, шифрование без дополнительного подтверждения (пароль, токен и т.п.), либо при возможности внести изменения в конфигурацию загрузки (которое и блокирует TPM) - не имеет смысла.

Comments

[CityCat4]

Как он на VPS интересно будет TPM использовать.