我正在遵循Debian 开发人员的全盘加密指南来保护 Ubuntu 机器,但我对第 3 部分感到困惑。它指出:
注意:cryptomount 缺少指定要打开的密钥槽索引的选项。所有活动密钥槽将按顺序尝试,直到找到匹配项。运行 PBKDF 算法是一个缓慢的操作,因此为了加快速度,您需要将 GRUB 阶段要解锁的密钥槽设置为第一个活动槽。运行以下命令来发现其索引。
root@debian:~# cryptsetup luksOpen --test-passphrase --verbose /dev/sda5
Enter passphrase for /dev/sda5:
Key slot 0 unlocked.
Command successful.
这就是本节的结尾。似乎我们还没有完成?好的,我们已经找到了索引(在我的情况下是 1,而不是 0),现在做什么?我们如何“设置”要在 GRUB 阶段解锁的密钥槽为第一个活动槽,正如指南中所说?似乎指南早早就结束了。
谢谢你!
好的,现在您知道您使用的密码是在密钥槽#1 中,而不是密钥槽#0 中。
下一步是确定密钥槽 #0 是否正在使用。您可以使用 列出每个密钥槽的状态
cryptsetup luksDump <encrypted disk device>。如果密钥槽 #0 被列为
DISABLED,则它目前是空闲的,您可以简单地将您想要与 GRUB 一起使用的密码分配给它:但是如果密钥槽 #0 被列为
ENABLED,则表示它已被使用。在这种情况下,您必须找出它的用途,并将该密码或密钥文件添加到另一个槽中(如果您想保留该功能)。这是指按顺序排列的数字。由于插槽计数从 0 开始,因此编号为 0 的插槽是“第一个”,插槽 1 是“第二个”,插槽 2 是“第三个”,依此类推