红帽linux-”的;“关闭”;加密检查
我有一个Red Hat 6.5 Linux实现,它使用LUKS对系统进行加密,出于不相关的原因,我想在一段时间内“关闭”引导加密检查。它将在某个时候再次打开,因此即使有可能完全删除LUKS加密,这也不是我感兴趣的解决方案 我想要的是在启动时自动提供LUKS密码,这样就不需要手动输入密码——这样就可以在逻辑上“关闭”加密,即使实际上仍然启用了加密 现在,虽然这对于辅助设备来说很简单,即通过创建密钥文件、将密钥文件应用于加密设备并修改/etc/crypttab以引用密钥文件,但在引导时仍必须输入至少一个密码,因为如果主设备是LUKS加密的,然后必须先对其进行解密,然后才能访问/etc/crypttab 我见过一种方法,可以消除输入初始密码的要求,即:红帽linux-”的;“关闭”;加密检查,linux,encryption,redhat,Linux,Encryption,Redhat,我有一个Red Hat 6.5 Linux实现,它使用LUKS对系统进行加密,出于不相关的原因,我想在一段时间内“关闭”引导加密检查。它将在某个时候再次打开,因此即使有可能完全删除LUKS加密,这也不是我感兴趣的解决方案 我想要的是在启动时自动提供LUKS密码,这样就不需要手动输入密码——这样就可以在逻辑上“关闭”加密,即使实际上仍然启用了加密 现在,虽然这对于辅助设备来说很简单,即通过创建密钥文件、将密钥文件应用于加密设备并修改/etc/crypttab以引用密钥文件,但在引导时仍必须输入至少
- rd.luks.key=/boot/keyfile.key:/dev/sda1
- rd.luks.key=/keyfile.key:/dev/sda1
- rd.luks.key=/keyfile.key
- rd.luks.key=/somekeyfilethat我不知道texist.key:/dev/sda1
- 我应该把密钥文件放在哪里
- 我应该使用什么rd.luks.key值来引用密钥文件
提前感谢您的帮助我从来都不需要这个,但肯定会想到它的用处。因此,您的帖子促使我回顾了如何做到这一点,我看到的唯一方法是将解锁脚本/细节放入initramfs中 在基于debian的发行版中,这是一个容易得多的过程,因为可以通过initramfs工具将脚本注入initramfs。。在开机时动态。查看和 基于RHEL的发行版需要使用dracut(在恢复模式下)来重建initramfs。因此,我认为可以通过重建initramfs并在其中注入解锁脚本来解决这个问题。。这样我们就可以确保在内核需要挂载它们之前,您的根/引导设备已经解锁。这提供了一种获取和修改initramfs内容的方法。至于在initramfs中注入解锁脚本的最佳方法,我不确定
当我不那么忙的时候,我一定会尝试一下。这听起来确实是一件非常有用的事情,能够进行设置。经过大量的挖掘,我终于找到了答案(在CentOS 6.6和7上都可以使用)。特别感谢以下两种资源:
就这样。服务器在不请求密码的情况下重新启动。(通过cryptsetup命令从LUKS设备中删除/添加密钥文件,可以随意禁用/启用此功能)沉默令人伤心。来吧,保安们……一定有人对这件事有意见吧?这是一项功能极其强大的功能,有许多潜在的使用案例,其中一个是启用远程加密服务器重新启动,而无需“现场本地人员输入密码或插入持有密钥文件的可移动未加密设备”.I放弃:我已将/src/keys/文件添加到initramfs中,如下所示
dracut--include/keys/src/keys/boot/initramfs new.img
,将/code>rd.luks.key=/keys/file:/dev/sda1附加到/boot/grub/grub.conf及其许多变体的内核行中。什么都不管用。查看dracut init.log,除了重复的没有找到/dev/sda2的键之外,我什么也没有得到。稍后再试。
…以及随后的内核死机。谢谢Chux-下面是我希望能够在加密的linux设备上执行的操作:1。登录2。“逻辑上”禁用重新启动3的加密。重新启动4。重新启用加密此功能将允许对加密服务器进行全面的远程管理。(这对我来说目前是不可能的)你认为你上面的回答能满足这种情况吗?抱歉,我想把我上面评论的措辞改为:1。登录2。禁用启动3上的密码检查。重新启动。4.在启动时重新启用密码检查(这样,如果机器随后重新启动,将提示重新启动者正常输入密码)
# insert a password into my chosen password file
echo -n "anypassword" > /etc/mypasswdfile
# instruct the LUKS device to take the password from my password file
vi /etc/crypttab and replaced the 3rd parameter "none" with "/etc/mypasswdfile"
# add my password file as a valid key for the luks device
cryptsetup luksAddKey /dev/sda2 /etc/mypasswdfile
# configure dracut to add the following 2 items to the initramfs (so accessible at boot)
echo 'install_items="/etc/mypasswdfile /etc/crypttab"' > /etc/dracut.conf.d/99-mypwfile.conf
# instruct dracut to apply the configuration
dracut -f
# reboot the server
reboot