[devel] dracut (Re: Разделение миров systemd и sysv)
Leonid Krivoshein
klark.devel на gmail.com
Пт Мар 26 14:27:58 MSK 2021
26.03.2021 12:19, Anton Farygin пишет:
> On 25.03.2021 22:36, Alexey Sheplyakov wrote:
>> Добрый вечер!
>>
>> On 18.03.2021 02:43, Dmitry V. Levin wrote:
>>> On Wed, Mar 17, 2021 at 11:00:08PM +0300, Alexey Shabalin wrote:
>>> [...]
>>>> 2) предлагаю под systemd перейти на dracut вместо make-initrd.
>>> А зачем?
>> Монтирование зашифрованной rootfs с использованием ключей из TPM 2.0,
>> например.
>> Чтобы можно было зашифровать весь диск с rootfs, и при этом
>> (пере)загрузка ОС
>> происходила без участия человека (и/или доступности ключей на съемных
>> носителях).
>>
> Так это надо сделать, фича классная, но пока была никому не нужна.
>
Коллеги из Актива почти сами, но немного с нашей помощью реализовали
загрузку с шифрованного корня на токене, используя новую фичу pipeline
из make-initrd:
https://github.com/lo1ol/make-initrd-flash-unlock/tree/master/flash-unlock
, но с тем же успехом можно использовать LUKS1, LUKS2 (который понимает
токены) и pipeline из make-initrd для загрузки с шифрованного корня.
Кстати, Антон, а ты не знаешь ничего про патчи grub для загрузки с
LUKS2? LUKS1 он и сейчас умеет.
--
Best regards,
Leonid Krivoshein.
Подробная информация о списке рассылки Devel