UIRD и LUKS

Добавлена возможность привязать расшифровку luks раздела к железу. То есть на доверенных машинах UIRD расшифрует без запроса пароля, на остальных спросит пароль. Делается это так. У LUKS 8 слотов котрые могут хранить ключи и пароли. В один слот вы записываете пароль который будете вводить, а в другой слот записываете выхлоп команды:

busybox.static lspci |md5sum |cut -f1 -d " "

Команду нужно запускать на той машине которой вы хотите разрешить беспарольную загрузку.
В cmdline к параметру который подключает LUKS (uird.from, uird.mounts) нужно добавить PASS=//hardware//, то есть типа такого должно получиться:

uird.mounts=LUKS@/::PASS=//hardware// 

Отключать плимут для ввода пароля LUKS теперь не нужно, ввод работает и с плимутом тоже.
Вероятно эти изменения уже в сборке.

P.S. Добиться похожего эффекта можно было и раньше. Для этого записываете в слот люкса не пароль, а ключ. То есть файл с ключем. Кладете этот ключ в корень любого диска на доверенной машине и тогда строка будет выглядеть так:

uird.mounts=LUKS@/::KEY=/myluks.key

Но это наверное менее безопасно, так-как ключ в открытом виде лежит.

1 лайк