Supponiamo di avere due partizioni su un sistema Linux, una partizione root ( /
) e una partizione /home
. Entrambi sono crittografati con LUKS .
La partizione /home
deve essere decrittografata solo se /
è sbloccato e montato. Al momento dell'avvio, inserisco la passphrase per la partizione di root. Ora ho trovato diverse possibilità per evitare di dover inserire più passphrase:
- Usa
decrypt_derived
da Debian . Questo recupera la chiave (master?) Dalla memoria (sicura?) E la usa come passphrase per la seconda partizione. È stato menzionato su Unix.SE . - Crea un file chiave da dati casuali, salvalo sulla partizione principale e usalo come passphrase per la seconda partizione. È facile da configurare.
- In qualche modo leggi la passphrase e scrivila nell'input standard di
cryptsetup
. Ciò significa che le passphrase devono essere le stesse per entrambe le partizioni.
Quali sono le implicazioni per la sicurezza di ciascun metodo e quale metodo è raccomandato?