systemctl disable servicename
.
Запуск systemctl disable
удаляет символическую ссылку на службу в /etc/systemd/system/*
.
С этого момента эта служба больше не будет запускаться при загрузке.
Я нашел ответ :зашифровать весь диск с помощью LUKS, а затем сохранить ключи в системном TPM. Таким образом, весь диск шифруется, и конечный пользователь не может извлечь ключи из TPM... очень безопасно :
.Нет, невозможно сбросить пароль root на ПК с полным шифрованием диска (FDE ).
В учебнике, указанном в ответе, который вы добавили, рассказывается об автоматическом монтировании некоторых системных дисков, отличных от -. С FDE все, что ниже /
, шифруется, включая /root/keyfile
.
Если вы поместите ключевой файл в системный раздел на незашифрованном -разделе (, например./boot
)из соображений удобства ваши друзья смогут прочитать файл, поэтому не делайте этого.
Читать:
По поводу дополнения из вашего комментария:
«Это устройство загружается и работает без вмешательства пользователя»:
Не позволяйте ненадежным пользователям загружать ваш компьютер. Если пользователи могут загружаться с вашего зашифрованного жесткого диска, они либо знают пароль, либо имеют незашифрованный ключевой файл для шифрования, и тогда они могут делать с компьютером все, что захотят.
Держите компьютер загруженным или назначьте некоторых доверенных пользователей, которым разрешена загрузка.