Billy Asked: 2018-08-01 12:03:31 +0800 CST2018-08-01 12:03:31 +0800 CST 2018-08-01 12:03:31 +0800 CST 没有 initramfs 的 Linux 全盘加密 772 是否有任何全盘加密方案可以在没有 initramfs 的情况下完成,而不是从内核 cmdline 获取加密密钥?我知道这听起来不安全,因为攻击者只能读取引导加载程序文件;但由于此设备的启动过程,我必须在每次启动时手动输入 cmdline。 我已经为这个 arm64 设备编译了自己的内核,所以自定义内核配置选项对我来说不是问题。 linux whole-drive-encryption 2 个回答 Voted Best Answer sourcejedi 2018-08-01T13:21:35+08:002018-08-01T13:21:35+08:00 不。 好吧,通常 FDE 必须在硬件(而不是 Linux)中,否则内核来自哪里。假设您已经解决了这个问题(可能与您对不太典型的启动过程的建议有关)...... 无法从通过命令行选项解密的块设备挂载根 fs。也不能将 ecryptfs 挂载为 root:您必须先为 ecryptfs 设置后备文件系统,然后才能挂载 ecryptfs... (从技术上讲,有一个 hacky 选项rootdelay=。但是没有一个引导选项可以将两个 rootfs 相互挂载,也没有一个引导选项可以用任何方案解密块设备)。 通常/proc/cmdline可以被任何用户空间进程读取,因此 Linux 不鼓励将密钥放入其中。将这种想法与 FDE 隐含的安全需求相协调是具有挑战性的,但也许有一些人为的情况...... 听起来好像您想向内核传递一个用户空间代码块,它可以以您选择的任何方式构建存储堆栈。甚至内核开发人员不会批准的方式:-)。您可以在启动时传递 blob。或者您可以选择将其构建到内核中。我们可以简称为初始 ramfs 或 initramfs。好消息!有人已经为你实现了这个内核特性。 问题没有说明为什么不能说出这个 9 个字母的词。由于您正在进行自定义编译,因此您始终可以使用您喜欢的任何名称进行修补:-P。 (这是更通用的选项。从技术上讲,对于您的情况,您可能会使用未加密的分区来保存相同的代码,但通常不太方便)。 它不必像发行版 initramfs 一样大。例如,快速搜索发现这是一个合理的起点: https://gist.github.com/packz/4077532 你可以构建一个自定义的busybox,它只启用initramfs需要的模块。取决于静态链接的工作情况,但我真的希望 initramfs 比内核小。 Peter 2020-05-17T12:55:45+08:002020-05-17T12:55:45+08:00 是的。 现在可以使用新的内核参数“dm-mod.create=”。我在这里找到了 gentoo 的简短描述:https ://forums.gentoo.org/viewtopic-t-1110764-highlight-.html
不。
好吧,通常 FDE 必须在硬件(而不是 Linux)中,否则内核来自哪里。假设您已经解决了这个问题(可能与您对不太典型的启动过程的建议有关)......
无法从通过命令行选项解密的块设备挂载根 fs。也不能将 ecryptfs 挂载为 root:您必须先为 ecryptfs 设置后备文件系统,然后才能挂载 ecryptfs...
(从技术上讲,有一个 hacky 选项
rootdelay=。但是没有一个引导选项可以将两个 rootfs 相互挂载,也没有一个引导选项可以用任何方案解密块设备)。通常
/proc/cmdline可以被任何用户空间进程读取,因此 Linux 不鼓励将密钥放入其中。将这种想法与 FDE 隐含的安全需求相协调是具有挑战性的,但也许有一些人为的情况......听起来好像您想向内核传递一个用户空间代码块,它可以以您选择的任何方式构建存储堆栈。甚至内核开发人员不会批准的方式:-)。您可以在启动时传递 blob。或者您可以选择将其构建到内核中。我们可以简称为初始 ramfs 或 initramfs。好消息!有人已经为你实现了这个内核特性。
问题没有说明为什么不能说出这个 9 个字母的词。由于您正在进行自定义编译,因此您始终可以使用您喜欢的任何名称进行修补:-P。
(这是更通用的选项。从技术上讲,对于您的情况,您可能会使用未加密的分区来保存相同的代码,但通常不太方便)。
它不必像发行版 initramfs 一样大。例如,快速搜索发现这是一个合理的起点:
https://gist.github.com/packz/4077532
你可以构建一个自定义的busybox,它只启用initramfs需要的模块。取决于静态链接的工作情况,但我真的希望 initramfs 比内核小。
是的。
现在可以使用新的内核参数“dm-mod.create=”。我在这里找到了 gentoo 的简短描述:https ://forums.gentoo.org/viewtopic-t-1110764-highlight-.html