No meu laptop Linux tenho dois discos:
Um HDD convencional maior e um SSD menor mas rápido.
No SSD eu tenho um pequeno /boot
-Partition não criptografado contendo kernels, initrd images e GRUB. Todos os itens restantes (incluindo o Linux /
, swap
, /home
, ...) estão em duas LUKS pseudo-dispositivos criptografados. Eles são iniciados no momento da inicialização usando entradas em /etc/crypttab
. Tudo funciona bem.
Mas durante a inicialização eu tenho que inserir duas senhas para ativar o contêiner LUKS.
Desde que usei a mesma frase secreta para os dois discos, estou agora procurando uma maneira inteligente e segura, que permita iniciar ambos os discos digitando a frase secreta apenas uma vez durante a inicialização. Alguma idéia?
Eu já sei que eu poderia armazenar a frase secreta para o segundo disco em um arquivo-chave no sistema de arquivos raiz já criptografado no SSD e consultá-lo no arquivo /etc/crypttab
. Mas temo que esse arquivo-chave possa vazar de alguma forma (possivelmente
ele pode aparecer nas imagens initrd na partição /boot/
não criptografada?).
Tags encryption luks linux