(Hinweis: Dieser Artikel ist spezifisch für Arch Linux.)

Ich war noch nie besonders schnell, aber selbst ich habe es jetzt geschafft, meine Workstation auf Arbeit (es ist eine lange Geschichte, warum ich auch noch eine Workstation habe und trotz Corona-Pandemie meistens im Büro bin) so einzurichten, dass die Verschlüsselung beim Bootvorgang sich jetzt auch via SSH entsperren lässt.

Zum Hintergrund: Ich hatte meine Workstation in der Arbeit (und übrigens auch alle meine privaten Systeme) meistens komplett verschlüsselt, teilweise sogar mit Secure Boot. Beim Booten gibt man dann einmalig ein Passwort ein und kann danach mit dem System normal arbeiten, und dank AES-Erweiterungen in jedem halbwegs modernen Prozessor habe ich auch noch nie Performance-Probleme erlebt.

Allerdings: Wenn man dann doch mal nicht im Office ist und die Workstation bootet war’s das erstmal, da kommt man erstmal nicht mehr ran.

Aber zum Glück gibt es unter Arch natürlich eine - wie immer gut dokumentierte - Lösung.

Im Prinzip installiert man dafür nur ein paar Pakete, konfiguriert ein paar Hooks für die initrd um und sagt dem Kernel, er möge sich beim Booten bitte eine IP holen.

Das einzige Caveat, dass mit aufegfallen ist: Der netconf-Hook hat einen cleanup-Teil, der dafür sorgt, dass da Interface vor dem eigentlichen Boot-Vorgang wieder deinitialisiert wird, damit udev dann nicht am Umbenennen scheitert. Das funktioniert aber nur, wenn der Kernel die Konfiguration wirklich pro Interface in seine cmdline bekommt. Also statt

1
ip=dhcp

gibt man

1
ip=:::::eth0:dhcp

an und es funktioniert alles so, wie es sollte.