私はGrubとinitramfsでLuksを使ってハードドライブを暗号化します。誰かが私のSSDを取り出し、別の場所に置いたり複製してSSDに入ろうとする可能性があるという疑いを残したくありません。
現在、静的キーファイルとパスワードがあります。これを助けるために、UUID +ランダムソルト/キー+ハッシュされていないパスワードのlukで構成されるキーファイルとして返されるハッシュ値を生成するbashファイルが必要です。アクセスは、他のハッシュされたパスワードで構成されます。
私がハッシュされていないと言うのは、誰にとっても役に立つ可能性があるものをヘッダーで検索したくないからです。これにより、誰かがキーファイル(緊急シェルに閉じ込められたときに奇妙なことに私に起こったこと)を見つけても、本質的に役に立ちません。
これを行うためにbashスクリプトを書くことができ、luksのパスワードを変更しても同じです。しかし、現在私が使っている部分はGrubの終わりにあります。GRUB_CMDLINE_LINUX特にcryptkey=rootfs:/path/to/fileを使用するには、bashスクリプトを実行する必要があります。
initramfsのFILES場合/etc/mkinitcpio.conf。
これは可能ですか、それともこれを達成するために別のものが必要ですか?私はこれについて少し自信がなく、実際の内容が見つかりません。
よろしくお願いします。
ベストアンサー1
GRUB_CMDLINE_LINUXorを使ってこれを行うことはできないと思いますinitramfs。たとえば、USBドライブでスクリプトを実行するために使用できる事前ブート認証(PBA)ツールを使用できますが、これは必ずしもTrustedGRUB安全ではないUSBドライブの整合性に依存します。
別のオプションは、YubiKeyなどのセキュリティ要素に格納されているキーファイルを使用することです。これは物理的な攻撃に対して脆弱ではなく、USBドライブを使用するよりも安全です。