在全盘加密的Ubuntu系统上如何实现自动开机

原创 于 2025-06-30 14:50:56 发布 · 454 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ubuntu #linux #运维

要在全盘加密的Ubuntu系统上实现自动开机(即无需手动输入密码),可以使用以下方法。最常见的方式是使用密钥文件(keyfile)配合可移动设备(如U盘)或TPM(可信平台模块),具体步骤如下:

方法1:使用U盘存储密钥文件(推荐)

步骤:

  1. 创建密钥文件
    生成一个随机密钥文件(例如保存到/root/.luks-key):

    sudo dd if=/dev/urandom of=/root/.luks-key bs=4096 count=1
sudo chmod 0400 /root/.luks-key  # 限制访问权限

  2. 将密钥添加到LUKS加密卷
    假设加密分区为/dev/sda3(请用 lsblk 确认实际分区):

    sudo cryptsetup luksAddKey /dev/sda3 /root/.luks-key

    输入原加密密码完成添加。

  3. 配置 /etc/crypttab
    编辑加密卷配置:

    sudo nano /etc/crypttab

    找到类似 sda3_crypt UUID=... none luks 的行,修改为:

    sda3_crypt UUID=<你的UUID> /dev/disk/by-label/KEY:/luks-key luks,keyscript=/bin/cat

    说明

    • <你的UUID>:通过 sudo blkid /dev/sda3 获取。
    • /dev/disk/by-label/KEY:U盘的卷标(需命名为KEY)。
    • /luks-key:密钥文件在U盘中的路径。

  4. 准备U盘

    • 格式化U盘为FAT/EXT4,设置卷标为 KEY
      sudo mkfs.ext4 -L KEY /dev/sdX1  # 替换为U盘设备
    • 挂载U盘并复制密钥文件:
      sudo mount /dev/sdX1 /mnt
sudo cp /root/.luks-key /mnt/luks-key
sudo umount /mnt

  5. 更新 initramfs

    sudo update-initramfs -u

  6. 测试
    重启系统,插入U盘后应自动解锁。拔掉U盘则需手动输入密码。

方法2:使用TPM 2.0自动解锁(Ubuntu 22.04+)

前提:主板支持TPM 2.0(需在UEFI中启用)。

步骤:

  1. 安装工具

    sudo apt install clevis clevis-tpm2 clevis-luks

  2. 绑定LUKS到TPM
    绑定到根分区(例如/dev/sda3):

    sudo clevis luks bind -d /dev/sda3 tpm2 '{"pcr_ids":"7"}'
    • pcr_ids:"7":关联安全启动状态(PCR 7),若需其他PCR,可追加如1,7

  3. 更新 initramfs

    sudo update-initramfs -u

  4. 测试
    重启后系统将自动用TPM解锁。注意:若安全启动状态改变(如更新BIOS),需重新绑定。

方法3:网络解锁(适用于服务器)

使用 dropbear-initramfs 通过SSH远程解锁:

  1. 安装:
    sudo apt install dropbear-initramfs
  2. 配置SSH公钥到 /etc/dropbear-initramfs/authorized_keys
  3. 重启后通过SSH连接initramfs,执行 unlock 命令输入密码。

注意事项

  • 安全性
    • U盘或TPM可能被物理窃取,仅在可控环境中使用自动解锁。
    • 备份原LUKS密码:防止密钥丢失导致数据不可恢复。
  • 验证分区
    使用 lsblksudo blkid 确认加密分区的设备路径(如 /dev/sda3)。
  • 调试
    若失败,在GRUB菜单按 Esc 进入启动日志,检查错误信息。

选择适合场景的方法即可实现全盘加密Ubuntu的自动开机。

如何在Ubuntu 24.04或23.04中加密主文件夹
代码说,代码让世界更美好。
05-09 2017
如何在Ubuntu 24.04或23.04中加密主文件夹
如何在安装 Ubuntu 22.04 时加密全盘
美国主机评测
06-10 6109
本分步教程将指导您如何在Ubuntu 22.04上启用全盘加密,为此,我们将使用LVM(逻辑卷管理)和LUKS(用于加密目的)。
Ubuntu全盘加密&开机自动解密配置
qq_41411704的博客
07-03 4357
而且,做了ubuntu的安装界面加密,需要每次开启启动时手动输入密码也是极其不方便,且是不可能远程实现的。所以这边基于调研,做了个基于Ubuntu 20.04 安装时,选择全盘加密,并做了基于boot项的自动解密。1.1 U盘刻录Ubuntu 20.04 系统,在安装过程中,选择清除整个磁盘并安装Ubuntu,ADvance fetures-在Ubuntu新安装中使用LVM,勾选加密Ubuntu新安装以提高安全性。#加密的磁盘:/dev/nvme0n1p3,按照提示输入之前配置的磁盘加密密码。
Ubuntu多硬盘luks全盘加密自动解锁(硬件变更后失效)的方法
Alisebeast的博客
01-14 5503
大家都知道,Linux现在用Luks全盘加密一直有一个痛点,就是每次开机都需要输入解密硬盘的密码,之后又要输入用户密码,非常的麻烦!本文正是为了解决这个问题诞生的!
已解决:Ubuntu22.04全盘加密及自动解密
doubleteng的博客
03-21 1770
Ubuntu22.04安装;Ubuntu全盘加密;自动解密
ubuntu系统开机密码重置方法
03-18
还有可能遇到的情况是,如果系统启用了全盘加密或者其他安全措施,可能需要额外的步骤。不过这种情况可能比较复杂,一般用户可能不会涉及,所以暂时先不考虑,保持回答简洁。 另外,有些教程可能会提到通过Live CD/...
GRUB实验-单用户破密码-引导菜单加密-救援模式
11-20
操作步骤是在系统开机启动倒计时时,按下任意键进入GRUB的编辑模式,通过在kernel后面添加single参数,进入单用户模式,此时不需要密码验证,可以直接使用root用户进行操作。 接着,文档讲解了GRUB引导菜单的加密...
ubuntu系统忘记用户开机密码,重启系统并进入GRUB菜单,选择root选项进入要求输入root密码,但root密码也不记得了 该怎么重置用户密码?
最新发布
03-18
还需要考虑特殊情况,比如全盘加密的情况,这时候可能需要先解密才能挂载文件系统,但用户可能没有加密,所以放在注意事项里提醒。 总结下来,步骤应该是:进入GRUB编辑模式,修改内核参数进入root shell,挂载文件...
七彩虹隐星p16 安装ubuntu系统
02-21
### 如何在七彩虹隐星P16上安装Ubuntu系统 #### 准备工作 为了顺利安装Ubuntu操作系统,在开始之前需准备一个8GB以上的U盘作为启动介质,并下载对应版本的Ubuntu ISO文件[^1]。 #### 创建可引导USB驱动器 使用...
如何在服务器上安装 Ubuntu 22.04 LTS
01-14
- **磁盘分区规划**: 提供了多种方式让用户定义硬盘空间分配策略——全盘自动划分、自定义LVM逻辑卷管理或是加密存储等等。 #### 结束阶段 当上述步骤完成后,系统会询问是否立即重启电脑以应用更改。移除先前使用...
ubuntu文件加密
风行天下
08-07 1936
               当Ubuntu Linux使用加密文件系统后,数据的安全能得到很好的保护。在这种情况下,即使把我们的机器送给黑客,只要他们没有密钥,黑客看到的数据只会是一堆乱码,毫无利用价值可言。     本文将详细介绍利用dm-crypt来创建加密文件系统的方法。与其它创建加密文件系统的方法相比,dm-crypt系统有着无可比拟的优越性:它的速度更快,易用性更强。除此之外,它的适...
Linux中实施加密
LAINCLAK的博客
08-07 2532
我们主要有两种加密文件和目录的方法。一种是文件系统级别的加密,在这种加密中,你可以选择性地加密某些文件或者目录(如,/home/alice)。对我而言,这是个十分不错的方法,你不需要为了启用或者测试加密而把所有一切重新安装一遍。然而,文件系统级别的加密也有一些缺点。例如,许多现代应用程序会缓存(部分)文件你硬盘中未加密的部分中,比如交换分区、/tmp和/var文件夹,而这会导致隐私泄漏。 另外一
Ubuntu 19.04 磁盘加密
aboutmn的博客
08-25 4893
安装时加密 注意事项: “Encrypt the new Ubuntu installation for security”和“Use LVM With new Ubuntu installation” 必须同时选中 当选择“Something Else 时,无法使用加密. 效果: 分区加密 分区: U盘加密
如何在 Ubuntu加密硬盘
BalterNotz的博客
12-16 4247
https://linux.cn/article-8184-1.html     隐私保护、安全和加密是不可分开的,用户可以通过加密来提高安全和保护操作系统的隐私信息。本文将会介绍在 Ubuntu Linux 中对硬盘全盘加密的优缺点。此外,我们也介绍如何在系统级别上进行加密设置,并对一些目录进行加密加密是非常有用的,而且也没有你想象中那么复杂。综上所述,让我开始进行加密吧。 加密的优缺...
Ubuntu的密码存储及加密方式
qq_33458986的博客
08-22 4367
ubuntu14.04中密码的哈希值储存在/etc/shadow文件内,我们需要root权限来打开它,就可以看到相应的哈希值如下: lcf:$1$Yq.iskt1$2OvqA6GFAJveW0hIuxAT21:18124:0:99999:7::: 前半部分的$1$Yq.iskt1$是盐值,从官方文档中我们可以知道用户密码经过了glibc中的crypt算法的处理,那么盐值有什么作用呢?我们知道对...
ubuntu16.04引导加密
清风笑
01-14 2416
ubuntu16.04引导加密 由于机房实际需求,联想硬盘保护系统版本太低,无法解决ubuntu开机自动还原功能,同时为解决统一系统配置问题,所以只能将grub引导加密 1: grub-mkpasswd-pbkdf2 2: cd /etc/grub.d/ 3: vim 00_header:在最后添加如下代码: cat &lt;&lt; EOF set superusers="username"...
ubuntu 建立加密分區及其安全刪除
weixin_34221332的博客
03-01 248
加密分區1: sudo apt-get install cryptsetup2: 用“磁盤實用工具“,建立新的分區 或者 格式化現有分區,且勾選“加密底層設備“,按提示設定密碼3:同時選擇加密條件:i)立刻忘記。ii)登出后忘記。 iii)一直記住。 《建議選用 i)》安全刪除shred命令shred [option(s)] file(s)_or_devices(s)-f, –force –...
玩转Ubuntu Linux加密文件系统
鱼塘鱼汤的专栏
03-05 7710
<br />当Ubuntu Linux使用加密文件系统后,数据的安万能得到非常好的保护。在这种情况下,即使把我们的机器送给黑客,只要他们没有密钥,黑客看到的数据只会是一堆乱码,毫无利用价值可言。<br />本文将周详介绍利用dm-crypt来创建加密文件系统的方法。和其他创建加密文件系统的方法相比,dm-crypt系统有着无可比拟的优越性:他的速度更快,易用性更强。除此之外,他的适用面也非常广,能够运行在各种块设备上,即使这些设备使用了RAID和 LVM也毫无障碍。dm-crypt系统之所以具有这些好处,主
linux——磁盘加密,解密与永久挂载
热门推荐
yifan850399167的博客
05-02 1万+
一、磁盘加密   1.磁盘加密 (1)先新建一个分区 (2)cryptsetup   luksFormat   /dev/vdb1   #对此设备分区挂载加密,此时就不能对此设备挂载)         mount   /dev/vdb1   /mnt/                  # 此时不能挂载   cryptsetup   open  /dev/vdb1    we...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值