ubuntu
Ubuntu多硬盘luks全盘加密自动解锁(硬件变更后失效)的方法
原文链接:https://ovea-y.cn/ubuntu_mutli_disk_luks_full_encrypt_and_auto_unlock/ 简介 大家都知道,Linux现在用Luks全盘加密一直有一个痛点,就是每次开机都需要输入解密硬盘的密码,之后又要输入用户密码,非常的麻烦!本文正是为了解决这个问题诞生的! 本文多硬盘加密带来的效果是,当你的硬盘被拔出,其他人试图拿到数据时必须需要密码。而硬盘如果一直留在原来的主机中,且硬件没有发生大的变化,则不需要密码即可自动解密硬盘开机。 密钥验证逻辑链路如下: 使用TPM芯片验证当前环境是否可信,如果可信的话,则释放密钥给系统硬盘。系统启动后会释放其他硬盘的密钥来进行解锁。 其中任何一个链路被破坏,都将无法再自动解锁,必须输入密码。(其实这里有个可改进的地方,如果System Storage不是通过TPM解锁的,则销毁解密其他存储器的密钥) 1. 在安装Ubuntu的时候,进行仅对根目录进行加密 2. 设置根目录在开机时通过tpm 2.0硬件自动解密 安装所需工具
