При загрузке Linux Linux монтирует файловую систему из раздела шифрования, как?
У моей SD-карты есть два раздела, один - загрузочный, а другой - файловая система, теперь я использую инструмент linux cryptsetup для шифрования раздела файловой системы, при загрузке на моей плате ядро не может смонтировать файловую систему (шифровать), моя цель - Чтобы защитить всю файловую систему, может быть, три раздела может быть достигнуто, если у меня есть только два раздела, можно ли это достичь? Нужно изменить исходный код ядра?
1 ответ
Вы не посоветовали использовать дистрибутив, и это имеет значение. Определенно возможно сделать "полное дисковое" шифрование с двумя разделами под Linux, и я знаю, что это можно сделать с Ubuntu. (Не уверен, что установка по умолчанию делает это, я думаю, что да, в противном случае вы можете получить альтернативный диск, который делает). Я полагаю, что есть и Spin для Fedora или CentOS.
Механизм, используемый для достижения этого, заключается в следующем:
Создайте (или позвольте системе создать для вас) 2 раздела, небольшой "загрузочный" раздел, обычно около 200 мегабайт, и большой раздел для шифрования. (Вам нужно разобраться, если вам нужен дополнительный раздел для свопинга, или если вы хотите смонтировать своп, зашифрованный с использованием LVM или в виде файла - у каждого есть свои преимущества, но в целях безопасности вы бы взяли на себя снижение производительности и смонтировали его зашифрованный раздел)
Ваша ОС установит минимальный необходимый для загрузки загрузочный раздел (обычно это /boot). Пока он не зашифрован, он содержит только "стоковые файлы".
Затем при установке обычно создается / воссоздается начальный виртуальный диск (initrd), который включает в себя файлы и команды, необходимые для запроса пароля, расшифровки системы и перемонтирования его как пользователя root.