那些遇到过的问题

LUKS + TPM2 + PIN

Sim*_*mon 4 systemd luks secure-boot tpm disk-encryption

我目前知道两种将 LUKS 加密根分区绑定到 TPM2 的最新方法:systemd-cryptenrollclevis. 在成功检查密钥密封的 PCR 后,他们似乎都释放了加密密钥。

但我不喜欢在没有用户交互的情况下解密卷的想法。我宁愿有一个类似于 BitLocker for Windows 提供的解决方案:TPM 和额外的 PIN 或恢复密钥。

尽管我在网上进行了详尽的搜索,但我无法找到这方面的任何提示。有人知道解决方案吗?

编辑:有一个--recovery-key选项systemd-cryptenroll。我只关心如何在使用 TPM 时获得额外的 PIN 要求的问题。

小智 6

2022-05-21 - systemd v251

对 TPM2 + PIN 的支持已合并到 systemd-cryptenroll 中,并作为 v251 版本的一部分提供。

磁盘加密的变化:

  • systemd-cryptenroll 现在可以通过新的 --tpm2-with-pin= 选项控制在使用基于 TPM 的卷解锁时是否要求用户输入 PIN。

    选项 tpm2-pin= 可以在 /etc/crypttab 中使用。

来源

  • 我最近尝试了它,它的效果就像一个魅力。谢谢! (2认同)

归档时间:

查看次数:

3738 次

最近记录:

3 年,5 月 前
相关归档
如何为 Systemd 编写启动脚本? 257
如何让我的用户服务等到网络上线? 17
防止桌面 arch linux box 休眠 10
如何修复“文件”*.service“配置了 IP 防火墙(IPAddressDeny=any),但本地系统不支持基于 BPF/cgroup 的防火墙”? 8
从 systemd 触发 udev 规则 7
如何在 Debian jessie 上的 /var/log/syslog 中禁用 systemd 的“时间已更改”消息垃圾邮件? 5
正在为 LVM 运行停止作业 5
4K 扇区对 SSD 存储的 LUKS2 性能提高了多少? 5
我应该在容器中设置时间吗? 3
将 Backtrack 5 r2 安装到运行与 ubuntu 一起安装的 LUKS 设置中 2
难疑归档
如何在 PDF 文件中使用 grep? 207
下载时限制 wget 或 curl 的下载速度 128
为什么Linux内核有15+百万行代码? 118
如何关注 linux 手册页中的链接? 118
在脚本中使用 $"dollarsign-prefixed string" 是什么意思? 103
LVM 会影响性能吗? 97
如何在 gnome-terminal 中重命名终端选项卡标题? 93
为什么普通用户不能`chown`一个文件? 90
我可以将一台服务器上的标准输出通过管道传输到另一台服务器上的标准输入吗? 87
如何在顶部查看特定进程 86