Ok, estou depurando a última atualização do meu sistema e encontrei esse aviso em execução journalctl -b -p warning :
systemd-cryptsetup: Key file <location> is world-readable. This is not a good idea!
Geralmente eu entendo qual é o problema e isso é ruim. Embora eu não saiba como consertar isso corretamente sem arruinar minha bota.
Em seguida, vem a pergunta: quais permissões devo definir para que o arquivo funcione corretamente ao remover o aviso? É 600 ok? Ou alguns grupos de sistemas também precisam de acesso a este arquivo?
Ok, então, de fato 600 permissões são consideradas boas e a única boa prática para proteger um arquivo-chave (fonte: archwiki ).
Além disso, o mais complicado aqui é que, quando o kernel é atualizado, o procedimento de geração initramfs redefine a permissão do arquivo de chave para 644 , que basicamente permite despejar seu conteúdo.
Isso significa que, após cada atualização do kernel, o conjunto de permissões correto deve ser restaurado pelo usuário.