我正在 2021.12.x Arch Linux 安装中设置挂起到磁盘并恢复。我的问题是关于恢复时安全(没有数据丢失)解锁分区。
这是我的配置。引导加载程序是 grub 2.06,我使用的是基于 busybox 的 initramfs。相关分区如下。我没有使用LVM。
# partition encrypted mountpoint decrypted volume name
- --------- --------- ---------- ---------------------
...
3 root luks2 / cryptroot
4 swap luks2 [SWAP] cryptswap
...
在/etc/mkinitcpio.conf我已经配置了这些钩子。
HOOKS=(base udev ... openswap openroot ... resume ... filesystems fsck)
我没有使用内置的加密钩子。它只能解锁一个设备(通常只有cryptdevice内核参数中指定的根设备),但我也需要解锁加密的交换设备。因此,我使用了两个自定义钩子而不是加密钩子:openswap 和 openroot。本质上,openswap 挂钩运行:cryptsetup luksOpen <swap device> cryptswap
提示输入密码。openroot 挂钩对根分区设备执行相同的操作:cryptsetup luksOpen <root device> cryptroot.
接下来,内置的 resume 挂钩将交换设备的主要和次要编号写入/sys/power/resume.
printf "$devmajor:$devminor" >/sys/power/resume
此时有两种情况。
场景一:完全关机后开机
完全关机后启动计算机时,未锁定的交换分区中没有休眠映像。没有可恢复的内容,因此会进行常规引导。此时根分区已解锁(通过 openroot 挂钩),因此可以正确进行引导。
在这种情况下没有安全问题。
场景 2:如果在suspend-to-disk 之后启动
早些时候,当我启动磁盘挂起时,根分区将处于解锁和挂载状态,而休眠映像将按原样捕获此状态。现在,内核使用这个休眠映像恢复后,系统将继续使用这个(已经)解锁/挂载的根分区设备。
这就是我的问题出现的地方:
我知道mount在挂起和恢复之间的设备是不好的。例如,kernel.org 说:“如果您在挂起和恢复之间触摸磁盘上的任何内容…………与您的数据告别。” 我的配置不这样做。
cryptsetup luksOpen在挂起和恢复之间的设备是否同样糟糕?是否cryptsetup luksOpen构成触摸(上面的kernel.org术语)磁盘?回想一下 initramfs openroot 挂钩cryptsetup luksOpen <root device> cryptroot在挂起和恢复之间运行。
如果是这样,如何处理?
就其本身而言,它
cryptsetup luksOpen是一个纯粹的只读操作。然而,简单的解锁块设备的行为会触发依赖关系,例如 udev 规则,这反过来可能会触发自动组装(对于 raid 和 lvm 设备),这反过来会创建更多的块设备,进而触发更多的 udev 规则等.所以最好通过以正确的顺序运行钩子来避免整个难题。
如果
resume钩子只需要交换分区(即不涉及其他交换设备或交换文件),resume应该直接运行 afteropenswap, beforeopenroot。否则,您的设置也会产生错误的安全感,因为它要求提供根本不需要恢复的根加密密码,并且无论如何最终都会被恢复丢弃。
除非您有停止执行的代码,否则对于挂起的系统,
resume即使您反复输入错误的挂钩密码,挂钩也应该成功openroot。因此,这是在更改挂钩顺序之前验证该理论的一种简单方法。