使用 YubiKey 解密 LUKS 分区
年前入手了两枚 YubiKey 5C NFC,一开始只是用于一些网站的双因素认证,后来发现 YubiKey 还可以用于解密 LUKS 加密的分区。这样就可以实现在启动时需要插入 YubiKey 才能解锁硬盘,在虚拟机了试了一下,发现效果很好!今天来记录一下如何使用 YubiKey 解密 LUKS 加密的分区。
首先准备材料:
- 一个安装好的 Arch Linux 系统
- 一枚支持 FIDO2 的 YubiKey
理论上任何 Linux 发行版都可以,但一些包名可能不一样。而且由于是基于 Linux 内核,是可以实现加密整个根分区的。
如果你只使用密码解密 LUKS 加密的分区,也可以不需要 YubiKey。这篇文章也包含了使用密码解密 LUKS 加密的分区的方法。