Я установил новую систему 11.04, когда она была выпущена, и установила полное шифрование диска с помощью LUKS. Сначала я попросил у меня пароль для моих трех зашифрованных разделов:
/
/home
swap
Ввод в кодовую фразу три раза вызывал разочарование, поэтому я попытался настроить / home и swap расшифровать из ключевого файла, хранящегося на /. Я создал ключевой файл и включил его на двух разделах. Теперь мой crypttab выглядит так:
root-root_crypt UUID=13c21bf6-4d92-42a7-877a-87cc31b1aa19 none luks
home-home_crypt UUID=ba90ce5b-9df7-4764-8a72-011bbb164db4 /root/keyfile luks
home-home_crypt UUID=ba90ce5b-9df7-4764-8a72-011bbb164db4 none luks
sda3_crypt UUID=e4677895-2114-4054-9f23-d36f6bb0e6a2 /root/keyfile luks,swap
Это прекрасно работает для / home, который автоматически устанавливается без запроса пароля. Но cryptsetup все еще запрашивает пароль для пространства подкачки. Я даже попытался добавить noauto в пространство подкачки, поэтому он не будет настроен вообще - как только система будет загружена, я могу включить его без кодовой фразы, поэтому я подумал, что просто добавлю сценарий позднего инициализации он, но даже с noauto cryptsetup все еще запрашивает парольную фразу.
Спасибо!
Вероятно, это указывает на то, что раздел подкачки обращается во время процесса initramfs процесса загрузки. На этом этапе корневая файловая система еще не смонтирована, поэтому любые файлы конфигурации, хранящиеся там, не будут видны.
Пока пространство подкачки монтируется после корневой файловой системы, есть причина для initramfs процесс инициализации для доступа к пространству подкачки: при спячке на вашем компьютере содержимое памяти и состояние системы записываются для обмена. Чтобы вернуться из спящего режима, необходимо проверить, содержит ли пространство подкачки изображение спящего режима, которое потребует пропущенной фразы.
Если вы не возражаете потерять способность возобновить спящий режим, вы можете отключите это поведение, отредактировав /etc/initramfs-tools/conf.d/resume и закомментировав строку, начиная с RESUME=. После внесения изменений запустите update-initramfs -u, чтобы обновить изображение initramfs.
Был тот же вопрос, вот как я это сделал на ubuntu 12.04.1 и 12.10,
u need для настройки UUID, SYSTEM-SWAP_crypt, SYSTEM-OS_crypt, SYSTEM-SWAP, SYSTEM-OS для вариации, используемой в вашей системе, см. ссылку ссылки ниже моего решения для получения дополнительной информации
Получить UUID:
blkid
Получить UUIDs:
swapoff /dev/mapper/SYSTEM-SWAP_crypt
cryptsetup luksClose SYSTEM-SWAP_crypt
Сообщить cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему> [ ! d7] /lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksFormat /dev/mapper/SYSTEM-SWAP --key-file -
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksOpen /dev/mapper/SYSTEM-SWAP SYSTEM-SWAP_crypt --key-file -
mkswap /dev/mapper/SYSTEM-SWAP_crypt
Скажите cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему>
nano /etc/crypttab
=? убедитесь, что две строки соответствуют
SYSTEM-OS_crypt UUID=uuid-of-luks-containing-osroot none luks
SYSTEM-SWAP_crypt UUID=uuid-of-luks-containing-swap SYSTEM-OS_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
=? убедитесь, что две строки соответствуют
nano /etc/fstab
=? убедитесь, что у этой строки
/dev/mapper/SYSTEM-SWAP_crypt swap swap sw 0 0
=? убедитесь, что у этой строки есть
nano /etc/initramfs-tools/conf.d/resume
=? убедитесь, что у этой строки есть
RESUME=UUID=uuid-of-encrypted-swap-SYSTEM-SWAP_crypt
=? убедитесь, что у вас есть эта строка
update-initramfs -u -k all
ответ, вдохновленный этим блогом:
If вы используете зашифрованную систему Debian, вероятно, вам понадобятся некоторые требования к безопасности. Если это так, вы также должны использовать зашифрованный раздел подкачки. Раздел подкачки может быть зашифрован двумя способами: он может быть воссоздан при каждой загрузке с использованием случайной кодовой фразы или может быть создан как другие зашифрованные тома с помощью постоянной парольной фразы. Если вы хотите использовать suspend-to-disk, вы не можете используйте первый подход, поскольку он перезапишет ваш объем памяти, хранящийся в разделе подкачки. Кроме того, вы не можете использовать ключевой файл, например, другие разделы, так как корневая файловая система не монтируется (и не должна) к моменту начала процесса возобновления и должна читать дешифрованный раздел подкачки. Способ, которым я решил это, - сказать cryptsetup, чтобы вычислить кодовую фразу раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему; пакет cryptsetup реализует это с помощью /lib/cryptsetup/scripts/decrypt_derived. Таким образом, чтобы настроить раздел подкачки, я делаю следующее: предполагается, что hda2 - это раздел, содержащий зашифрованный своп, а корневая файловая система находится в hda5_crypt:swapoff /dev/mapper/hda2_crypt cryptsetup luksClose hda2_crypt dd
if=/dev/urandom of=/dev/hda2 /lib/cryptsetup/scripts/decrypt_derived
hda5_crypt \ | cryptsetup luksFormat /dev/hda2 --key-file -
/lib/cryptsetup/scripts/decrypt_derived hda5_crypt \ | cryptsetup
luksOpen /dev/hda2 hda2_crypt --key-file - mkswap
/dev/mapper/hda2_crypt
Чтобы сообщить системе об этом разделе подкачки, нам нужно добавьте его в /etc/crypttab и /etc/fstab; убедитесь, что эти файлы содержат строки, такие как: /etc/crypttab: hda2_crypt /dev/hda2 hda5_crypt
luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
/etc/fstab: /dev/mapper/hda2_crypt swap swap sw 0 0
. При этом, как только вы настроите систему на приостановку на диск, раздел подкачки будет автоматически устанавливаются вместе с корневой файловой системой очень рано во время загрузки. Чтобы выяснить, какой раздел подкачки сделать доступным в этой точке, cryptsetup проверяет следующее: строка, подобная RESUME=/dev/mapper/hda2_crypt в /etc/initramfs-tools/conf.d/resume, в настройке устройства возобновления в /etc/uswsusp.conf (см. [F24]) запись в /etc/suspend.conf a resume=/dev/mapper/hda2_crypt в командной строке ядра. Вы можете проверить /usr/share/initramfs-tools/hooks/cryptroot, если хотите узнать об этом больше. Вероятно, это указывает на то, что раздел подкачки обращается во время процесса initramfs процесса загрузки. На этом этапе корневая файловая система еще не смонтирована, поэтому любые файлы конфигурации, хранящиеся там, не будут видны.
Пока пространство подкачки монтируется после корневой файловой системы, есть причина для initramfs процесс инициализации для доступа к пространству подкачки: при спячке на вашем компьютере содержимое памяти и состояние системы записываются для обмена. Чтобы вернуться из спящего режима, необходимо проверить, содержит ли пространство подкачки изображение спящего режима, которое потребует пропущенной фразы.
Если вы не возражаете потерять способность возобновить спящий режим, вы можете отключите это поведение, отредактировав /etc/initramfs-tools/conf.d/resume и закомментировав строку, начиная с RESUME=. После внесения изменений запустите update-initramfs -u, чтобы обновить изображение initramfs.
Был тот же вопрос, вот как я это сделал на ubuntu 12.04.1 и 12.10,
u need для настройки UUID, SYSTEM-SWAP_crypt, SYSTEM-OS_crypt, SYSTEM-SWAP, SYSTEM-OS для вариации, используемой в вашей системе, см. ссылку ссылки ниже моего решения для получения дополнительной информации
Получить UUID:
blkid
Получить UUIDs:
swapoff /dev/mapper/SYSTEM-SWAP_crypt
cryptsetup luksClose SYSTEM-SWAP_crypt
Сообщить cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему> [ ! d7] /lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksFormat /dev/mapper/SYSTEM-SWAP --key-file -
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksOpen /dev/mapper/SYSTEM-SWAP SYSTEM-SWAP_crypt --key-file -
mkswap /dev/mapper/SYSTEM-SWAP_crypt
Скажите cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему>
nano /etc/crypttab
=? убедитесь, что две строки соответствуют
SYSTEM-OS_crypt UUID=uuid-of-luks-containing-osroot none luks
SYSTEM-SWAP_crypt UUID=uuid-of-luks-containing-swap SYSTEM-OS_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
=? убедитесь, что две строки соответствуют
nano /etc/fstab
=? убедитесь, что у этой строки
/dev/mapper/SYSTEM-SWAP_crypt swap swap sw 0 0
=? убедитесь, что у этой строки есть
nano /etc/initramfs-tools/conf.d/resume
=? убедитесь, что у этой строки есть
RESUME=UUID=uuid-of-encrypted-swap-SYSTEM-SWAP_crypt
=? убедитесь, что у вас есть эта строка
update-initramfs -u -k all
ответ, вдохновленный этим блогом:
If вы используете зашифрованную систему Debian, вероятно, вам понадобятся некоторые требования к безопасности. Если это так, вы также должны использовать зашифрованный раздел подкачки. Раздел подкачки может быть зашифрован двумя способами: он может быть воссоздан при каждой загрузке с использованием случайной кодовой фразы или может быть создан как другие зашифрованные тома с помощью постоянной парольной фразы. Если вы хотите использовать suspend-to-disk, вы не можете используйте первый подход, поскольку он перезапишет ваш объем памяти, хранящийся в разделе подкачки. Кроме того, вы не можете использовать ключевой файл, например, другие разделы, так как корневая файловая система не монтируется (и не должна) к моменту начала процесса возобновления и должна читать дешифрованный раздел подкачки. Способ, которым я решил это, - сказать cryptsetup, чтобы вычислить кодовую фразу раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему; пакет cryptsetup реализует это с помощью /lib/cryptsetup/scripts/decrypt_derived. Таким образом, чтобы настроить раздел подкачки, я делаю следующее: предполагается, что hda2 - это раздел, содержащий зашифрованный своп, а корневая файловая система находится в hda5_crypt:swapoff /dev/mapper/hda2_crypt cryptsetup luksClose hda2_crypt dd
if=/dev/urandom of=/dev/hda2 /lib/cryptsetup/scripts/decrypt_derived
hda5_crypt \ | cryptsetup luksFormat /dev/hda2 --key-file -
/lib/cryptsetup/scripts/decrypt_derived hda5_crypt \ | cryptsetup
luksOpen /dev/hda2 hda2_crypt --key-file - mkswap
/dev/mapper/hda2_crypt
Чтобы сообщить системе об этом разделе подкачки, нам нужно добавьте его в /etc/crypttab и /etc/fstab; убедитесь, что эти файлы содержат строки, такие как: /etc/crypttab: hda2_crypt /dev/hda2 hda5_crypt
luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
/etc/fstab: /dev/mapper/hda2_crypt swap swap sw 0 0
. При этом, как только вы настроите систему на приостановку на диск, раздел подкачки будет автоматически устанавливаются вместе с корневой файловой системой очень рано во время загрузки. Чтобы выяснить, какой раздел подкачки сделать доступным в этой точке, cryptsetup проверяет следующее: строка, подобная RESUME=/dev/mapper/hda2_crypt в /etc/initramfs-tools/conf.d/resume, в настройке устройства возобновления в /etc/uswsusp.conf (см. [F24]) запись в /etc/suspend.conf a resume=/dev/mapper/hda2_crypt в командной строке ядра. Вы можете проверить /usr/share/initramfs-tools/hooks/cryptroot, если хотите узнать об этом больше. Вероятно, это указывает на то, что раздел подкачки обращается во время процесса initramfs процесса загрузки. На этом этапе корневая файловая система еще не смонтирована, поэтому любые файлы конфигурации, хранящиеся там, не будут видны.
Пока пространство подкачки монтируется после корневой файловой системы, есть причина для initramfs процесс инициализации для доступа к пространству подкачки: при спячке на вашем компьютере содержимое памяти и состояние системы записываются для обмена. Чтобы вернуться из спящего режима, необходимо проверить, содержит ли пространство подкачки изображение спящего режима, которое потребует пропущенной фразы.
Если вы не возражаете потерять способность возобновить спящий режим, вы можете отключите это поведение, отредактировав /etc/initramfs-tools/conf.d/resume и закомментировав строку, начиная с RESUME=. После внесения изменений запустите update-initramfs -u, чтобы обновить изображение initramfs.
Был тот же вопрос, вот как я это сделал на ubuntu 12.04.1 и 12.10,
u need для настройки UUID, SYSTEM-SWAP_crypt, SYSTEM-OS_crypt, SYSTEM-SWAP, SYSTEM-OS для вариации, используемой в вашей системе, см. ссылку ссылки ниже моего решения для получения дополнительной информации
Получить UUID:
blkid
Получить UUIDs:
swapoff /dev/mapper/SYSTEM-SWAP_crypt
cryptsetup luksClose SYSTEM-SWAP_crypt
Сообщить cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему> [ ! d7] /lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksFormat /dev/mapper/SYSTEM-SWAP --key-file -
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksOpen /dev/mapper/SYSTEM-SWAP SYSTEM-SWAP_crypt --key-file -
mkswap /dev/mapper/SYSTEM-SWAP_crypt
Скажите cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему>
nano /etc/crypttab
=? убедитесь, что две строки соответствуют
SYSTEM-OS_crypt UUID=uuid-of-luks-containing-osroot none luks
SYSTEM-SWAP_crypt UUID=uuid-of-luks-containing-swap SYSTEM-OS_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
=? убедитесь, что две строки соответствуют
nano /etc/fstab
=? убедитесь, что у этой строки
/dev/mapper/SYSTEM-SWAP_crypt swap swap sw 0 0
=? убедитесь, что у этой строки есть
nano /etc/initramfs-tools/conf.d/resume
=? убедитесь, что у этой строки есть
RESUME=UUID=uuid-of-encrypted-swap-SYSTEM-SWAP_crypt
=? убедитесь, что у вас есть эта строка
update-initramfs -u -k all
ответ, вдохновленный этим блогом:
If вы используете зашифрованную систему Debian, вероятно, вам понадобятся некоторые требования к безопасности. Если это так, вы также должны использовать зашифрованный раздел подкачки. Раздел подкачки может быть зашифрован двумя способами: он может быть воссоздан при каждой загрузке с использованием случайной кодовой фразы или может быть создан как другие зашифрованные тома с помощью постоянной парольной фразы. Если вы хотите использовать suspend-to-disk, вы не можете используйте первый подход, поскольку он перезапишет ваш объем памяти, хранящийся в разделе подкачки. Кроме того, вы не можете использовать ключевой файл, например, другие разделы, так как корневая файловая система не монтируется (и не должна) к моменту начала процесса возобновления и должна читать дешифрованный раздел подкачки. Способ, которым я решил это, - сказать cryptsetup, чтобы вычислить кодовую фразу раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему; пакет cryptsetup реализует это с помощью /lib/cryptsetup/scripts/decrypt_derived. Таким образом, чтобы настроить раздел подкачки, я делаю следующее: предполагается, что hda2 - это раздел, содержащий зашифрованный своп, а корневая файловая система находится в hda5_crypt:swapoff /dev/mapper/hda2_crypt cryptsetup luksClose hda2_crypt dd
if=/dev/urandom of=/dev/hda2 /lib/cryptsetup/scripts/decrypt_derived
hda5_crypt \ | cryptsetup luksFormat /dev/hda2 --key-file -
/lib/cryptsetup/scripts/decrypt_derived hda5_crypt \ | cryptsetup
luksOpen /dev/hda2 hda2_crypt --key-file - mkswap
/dev/mapper/hda2_crypt
Чтобы сообщить системе об этом разделе подкачки, нам нужно добавьте его в /etc/crypttab и /etc/fstab; убедитесь, что эти файлы содержат строки, такие как: /etc/crypttab: hda2_crypt /dev/hda2 hda5_crypt
luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
/etc/fstab: /dev/mapper/hda2_crypt swap swap sw 0 0
. При этом, как только вы настроите систему на приостановку на диск, раздел подкачки будет автоматически устанавливаются вместе с корневой файловой системой очень рано во время загрузки. Чтобы выяснить, какой раздел подкачки сделать доступным в этой точке, cryptsetup проверяет следующее: строка, подобная RESUME=/dev/mapper/hda2_crypt в /etc/initramfs-tools/conf.d/resume, в настройке устройства возобновления в /etc/uswsusp.conf (см. [F24]) запись в /etc/suspend.conf a resume=/dev/mapper/hda2_crypt в командной строке ядра. Вы можете проверить /usr/share/initramfs-tools/hooks/cryptroot, если хотите узнать об этом больше. Вероятно, это указывает на то, что раздел подкачки обращается во время процесса initramfs процесса загрузки. На этом этапе корневая файловая система еще не смонтирована, поэтому любые файлы конфигурации, хранящиеся там, не будут видны.
Пока пространство подкачки монтируется после корневой файловой системы, есть причина для initramfs процесс инициализации для доступа к пространству подкачки: при спячке на вашем компьютере содержимое памяти и состояние системы записываются для обмена. Чтобы вернуться из спящего режима, необходимо проверить, содержит ли пространство подкачки изображение спящего режима, которое потребует пропущенной фразы.
Если вы не возражаете потерять способность возобновить спящий режим, вы можете отключите это поведение, отредактировав /etc/initramfs-tools/conf.d/resume и закомментировав строку, начиная с RESUME=. После внесения изменений запустите update-initramfs -u, чтобы обновить изображение initramfs.
Был тот же вопрос, вот как я это сделал на ubuntu 12.04.1 и 12.10,
u need для настройки UUID, SYSTEM-SWAP_crypt, SYSTEM-OS_crypt, SYSTEM-SWAP, SYSTEM-OS для вариации, используемой в вашей системе, см. ссылку ссылки ниже моего решения для получения дополнительной информации
Получить UUID:
blkid
Получить UUIDs:
swapoff /dev/mapper/SYSTEM-SWAP_crypt
cryptsetup luksClose SYSTEM-SWAP_crypt
Сообщить cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему> [ ! d7] /lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksFormat /dev/mapper/SYSTEM-SWAP --key-file -
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksOpen /dev/mapper/SYSTEM-SWAP SYSTEM-SWAP_crypt --key-file -
mkswap /dev/mapper/SYSTEM-SWAP_crypt
Скажите cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему>
nano /etc/crypttab
=? убедитесь, что две строки соответствуют
SYSTEM-OS_crypt UUID=uuid-of-luks-containing-osroot none luks
SYSTEM-SWAP_crypt UUID=uuid-of-luks-containing-swap SYSTEM-OS_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
=? убедитесь, что две строки соответствуют
nano /etc/fstab
=? убедитесь, что у этой строки
/dev/mapper/SYSTEM-SWAP_crypt swap swap sw 0 0
=? убедитесь, что у этой строки есть
nano /etc/initramfs-tools/conf.d/resume
=? убедитесь, что у этой строки есть
RESUME=UUID=uuid-of-encrypted-swap-SYSTEM-SWAP_crypt
=? убедитесь, что у вас есть эта строка
update-initramfs -u -k all
ответ, вдохновленный этим блогом:
If вы используете зашифрованную систему Debian, вероятно, вам понадобятся некоторые требования к безопасности. Если это так, вы также должны использовать зашифрованный раздел подкачки. Раздел подкачки может быть зашифрован двумя способами: он может быть воссоздан при каждой загрузке с использованием случайной кодовой фразы или может быть создан как другие зашифрованные тома с помощью постоянной парольной фразы. Если вы хотите использовать suspend-to-disk, вы не можете используйте первый подход, поскольку он перезапишет ваш объем памяти, хранящийся в разделе подкачки. Кроме того, вы не можете использовать ключевой файл, например, другие разделы, так как корневая файловая система не монтируется (и не должна) к моменту начала процесса возобновления и должна читать дешифрованный раздел подкачки. Способ, которым я решил это, - сказать cryptsetup, чтобы вычислить кодовую фразу раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему; пакет cryptsetup реализует это с помощью /lib/cryptsetup/scripts/decrypt_derived. Таким образом, чтобы настроить раздел подкачки, я делаю следующее: предполагается, что hda2 - это раздел, содержащий зашифрованный своп, а корневая файловая система находится в hda5_crypt:swapoff /dev/mapper/hda2_crypt cryptsetup luksClose hda2_crypt dd
if=/dev/urandom of=/dev/hda2 /lib/cryptsetup/scripts/decrypt_derived
hda5_crypt \ | cryptsetup luksFormat /dev/hda2 --key-file -
/lib/cryptsetup/scripts/decrypt_derived hda5_crypt \ | cryptsetup
luksOpen /dev/hda2 hda2_crypt --key-file - mkswap
/dev/mapper/hda2_crypt
Чтобы сообщить системе об этом разделе подкачки, нам нужно добавьте его в /etc/crypttab и /etc/fstab; убедитесь, что эти файлы содержат строки, такие как: /etc/crypttab: hda2_crypt /dev/hda2 hda5_crypt
luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
/etc/fstab: /dev/mapper/hda2_crypt swap swap sw 0 0
. При этом, как только вы настроите систему на приостановку на диск, раздел подкачки будет автоматически устанавливаются вместе с корневой файловой системой очень рано во время загрузки. Чтобы выяснить, какой раздел подкачки сделать доступным в этой точке, cryptsetup проверяет следующее: строка, подобная RESUME=/dev/mapper/hda2_crypt в /etc/initramfs-tools/conf.d/resume, в настройке устройства возобновления в /etc/uswsusp.conf (см. [F24]) запись в /etc/suspend.conf a resume=/dev/mapper/hda2_crypt в командной строке ядра. Вы можете проверить /usr/share/initramfs-tools/hooks/cryptroot, если хотите узнать об этом больше. Был тот же вопрос, вот как я сделал это на ubuntu 12.04.1 и 12.10,
u need для настройки UUID, SYSTEM-SWAP_crypt, SYSTEM-OS_crypt, SYSTEM-SWAP, SYSTEM-OS для изменения, используемого в вашей системе, см. ссылку ссылки ниже моего решения для получения дополнительной информации
Получить UUID:
blkid
Подготовить>
swapoff /dev/mapper/SYSTEM-SWAP_crypt
cryptsetup luksClose SYSTEM-SWAP_crypt
Сообщать cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему>
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksFormat /dev/mapper/SYSTEM-SWAP --key-file -
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksOpen /dev/mapper/SYSTEM-SWAP SYSTEM-SWAP_crypt --key-file -
mkswap /dev/mapper/SYSTEM-SWAP_crypt
] сообщите системе о разделе подкачки, отредактируйте crypttab>
nano /etc/crypttab
=? убедитесь, что две строки соответствуют
SYSTEM-OS_crypt UUID=uuid-of-luks-containing-osroot none luks
SYSTEM-SWAP_crypt UUID=uuid-of-luks-containing-swap SYSTEM-OS_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
сообщают системе о разделе подкачки, отредактируйте fstab>
nano /etc/fstab
=? убедитесь, что u имеет эту строку
/dev/mapper/SYSTEM-SWAP_crypt swap swap sw 0 0
рассказать системе о разделе подкачки, редактировать резюме>
nano /etc/initramfs-tools/conf.d/resume
=? убедитесь, что u имеет эту строку
RESUME=UUID=uuid-of-encrypted-swap-SYSTEM-SWAP_crypt
update initramfs на загрузочном разделе>
update-initramfs -u -k all
ответ, вдохновленный этот блог :
Если вы используете зашифрованную систему Debian, у вас наверняка возникнут некоторые требования к безопасности. Если это так, вы также должны использовать зашифрованный раздел подкачки.
Раздел подкачки может быть зашифрован двумя способами:
- он может быть воссоздан при каждой загрузке, используя случайную кодовую фразу или
- , он может быть создан как другие зашифрованные тома с помощью постоянной кодовой фразы
. Если вы хотите использовать suspend-to-disk, вы не можете использовать первый подход, так как он перезапишет ваш объем памяти, хранящийся в разделе подкачки. Кроме того, вы не можете использовать файл ключей, как и другие разделы, поскольку корневая файловая система не монтируется (и не должна) к моменту начала процесса возобновления и должна читать дешифрованный раздел подкачки.
Я решил решить это, сообщив cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему; пакет cryptsetup реализует это с помощью
/lib/cryptsetup/scripts/decrypt_derived
. Таким образом, чтобы настроить раздел подкачки, я делаю следующее, предполагая, чтоhda2
является разделом, содержащим зашифрованный своп, и корневая файловая система находится вhda5_crypt
:swapoff /dev/mapper/hda2_crypt cryptsetup luksClose hda2_crypt dd if=/dev/urandom of=/dev/hda2 /lib/cryptsetup/scripts/decrypt_derived hda5_crypt \ | cryptsetup luksFormat /dev/hda2 --key-file - /lib/cryptsetup/scripts/decrypt_derived hda5_crypt \ | cryptsetup luksOpen /dev/hda2 hda2_crypt --key-file - mkswap /dev/mapper/hda2_crypt
Чтобы сообщить системе о этот раздел подкачки, мы должны добавить его к
/etc/crypttab
и/etc/fstab
; убедитесь, что эти файлы содержат строки, такие как:
/etc/crypttab
:hda2_crypt /dev/hda2 hda5_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
/etc/fstab
:/dev/mapper/hda2_crypt swap swap sw 0 0
При этом на месте , как только вы настроите систему на приостановку на диск, раздел подкачки будет автоматически настроен рядом с корневой файловой системой очень рано во время последовательности загрузки. Чтобы выяснить, какой раздел подкачки сделать доступным в этой точке, cryptsetup проверяет следующее:
- такую строку, как
RESUME=/dev/mapper/hda2_crypt
в/etc/initramfs-tools/conf.d/resume
- , установку устройства возобновления в
/etc/uswsusp.conf
(см.uswsusp.conf(5)
)- запись в
/etc/suspend.conf
- a
resume=/dev/mapper/hda2_crypt
в командной строке ядраВы может проверить
blockquote>/usr/share/initramfs-tools/hooks/cryptroot
, если вы хотите узнать об этом больше.
Вероятно, это указывает на то, что раздел подкачки обращается во время процесса загрузки initramfs
. На этом этапе корневая файловая система еще не смонтирована, поэтому любые файлы конфигурации, хранящиеся там, не будут видны.
Пока пространство подкачки монтируется после корневой файловой системы, есть причина для initramfs
процесс инициализации для доступа к месту подкачки: при спячке на вашем компьютере содержимое памяти и состояние системы записываются для свопинга. Чтобы вернуться из спящего режима, необходимо проверить, содержит ли пространство подкачки изображение спящего режима, которое потребует пропущенной фразы.
Если вы не возражаете потерять возможность возобновления спячки, вы можете отключите это поведение, отредактировав /etc/initramfs-tools/conf.d/resume
и закомментировав строку, начиная с RESUME =
. После внесения изменений запустите update-initramfs -u
, чтобы обновить изображение initramfs
.
Был тот же вопрос, вот как я сделал это на ubuntu 12.04.1 и 12.10,
u need для настройки UUID, SYSTEM-SWAP_crypt, SYSTEM-OS_crypt, SYSTEM-SWAP, SYSTEM-OS для изменения, используемого в вашей системе, см. ссылку ссылки ниже моего решения для получения дополнительной информации
Получить UUID:
blkid
Подготовить>
swapoff /dev/mapper/SYSTEM-SWAP_crypt
cryptsetup luksClose SYSTEM-SWAP_crypt
Сообщать cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему>
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksFormat /dev/mapper/SYSTEM-SWAP --key-file -
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksOpen /dev/mapper/SYSTEM-SWAP SYSTEM-SWAP_crypt --key-file -
mkswap /dev/mapper/SYSTEM-SWAP_crypt
] сообщите системе о разделе подкачки, отредактируйте crypttab>
nano /etc/crypttab
=? убедитесь, что две строки соответствуют
SYSTEM-OS_crypt UUID=uuid-of-luks-containing-osroot none luks
SYSTEM-SWAP_crypt UUID=uuid-of-luks-containing-swap SYSTEM-OS_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
сообщают системе о разделе подкачки, отредактируйте fstab>
nano /etc/fstab
=? убедитесь, что u имеет эту строку
/dev/mapper/SYSTEM-SWAP_crypt swap swap sw 0 0
рассказать системе о разделе подкачки, редактировать резюме>
nano /etc/initramfs-tools/conf.d/resume
=? убедитесь, что u имеет эту строку
RESUME=UUID=uuid-of-encrypted-swap-SYSTEM-SWAP_crypt
update initramfs на загрузочном разделе>
update-initramfs -u -k all
ответ, вдохновленный этот блог :
Если вы используете зашифрованную систему Debian, у вас наверняка возникнут некоторые требования к безопасности. Если это так, вы также должны использовать зашифрованный раздел подкачки.
Раздел подкачки может быть зашифрован двумя способами:
- он может быть воссоздан при каждой загрузке, используя случайную кодовую фразу или
- , он может быть создан как другие зашифрованные тома с помощью постоянной кодовой фразы
. Если вы хотите использовать suspend-to-disk, вы не можете использовать первый подход, так как он перезапишет ваш объем памяти, хранящийся в разделе подкачки. Кроме того, вы не можете использовать файл ключей, как и другие разделы, поскольку корневая файловая система не монтируется (и не должна) к моменту начала процесса возобновления и должна читать дешифрованный раздел подкачки.
Я решил решить это, сообщив cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему; пакет cryptsetup реализует это с помощью
/lib/cryptsetup/scripts/decrypt_derived
. Таким образом, чтобы настроить раздел подкачки, я делаю следующее, предполагая, чтоhda2
является разделом, содержащим зашифрованный своп, и корневая файловая система находится вhda5_crypt
:swapoff /dev/mapper/hda2_crypt cryptsetup luksClose hda2_crypt dd if=/dev/urandom of=/dev/hda2 /lib/cryptsetup/scripts/decrypt_derived hda5_crypt \ | cryptsetup luksFormat /dev/hda2 --key-file - /lib/cryptsetup/scripts/decrypt_derived hda5_crypt \ | cryptsetup luksOpen /dev/hda2 hda2_crypt --key-file - mkswap /dev/mapper/hda2_crypt
Чтобы сообщить системе о этот раздел подкачки, мы должны добавить его к
/etc/crypttab
и/etc/fstab
; убедитесь, что эти файлы содержат строки, такие как:
/etc/crypttab
:hda2_crypt /dev/hda2 hda5_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
/etc/fstab
:/dev/mapper/hda2_crypt swap swap sw 0 0
При этом на месте , как только вы настроите систему на приостановку на диск, раздел подкачки будет автоматически настроен рядом с корневой файловой системой очень рано во время последовательности загрузки. Чтобы выяснить, какой раздел подкачки сделать доступным в этой точке, cryptsetup проверяет следующее:
- такую строку, как
RESUME=/dev/mapper/hda2_crypt
в/etc/initramfs-tools/conf.d/resume
- , установку устройства возобновления в
/etc/uswsusp.conf
(см.uswsusp.conf(5)
)- запись в
/etc/suspend.conf
- a
resume=/dev/mapper/hda2_crypt
в командной строке ядраВы может проверить
blockquote>/usr/share/initramfs-tools/hooks/cryptroot
, если вы хотите узнать об этом больше.
Вероятно, это указывает на то, что раздел подкачки обращается во время процесса загрузки initramfs
. На этом этапе корневая файловая система еще не смонтирована, поэтому любые файлы конфигурации, хранящиеся там, не будут видны.
Пока пространство подкачки монтируется после корневой файловой системы, есть причина для initramfs
процесс инициализации для доступа к месту подкачки: при спячке на вашем компьютере содержимое памяти и состояние системы записываются для свопинга. Чтобы вернуться из спящего режима, необходимо проверить, содержит ли пространство подкачки изображение спящего режима, которое потребует пропущенной фразы.
Если вы не возражаете потерять возможность возобновления спячки, вы можете отключите это поведение, отредактировав /etc/initramfs-tools/conf.d/resume
и закомментировав строку, начиная с RESUME =
. После внесения изменений запустите update-initramfs -u
, чтобы обновить изображение initramfs
.
Был тот же вопрос, вот как я сделал это на ubuntu 12.04.1 и 12.10,
u need для настройки UUID, SYSTEM-SWAP_crypt, SYSTEM-OS_crypt, SYSTEM-SWAP, SYSTEM-OS для изменения, используемого в вашей системе, см. ссылку ссылки ниже моего решения для получения дополнительной информации
Получить UUID:
blkid
Подготовить>
swapoff /dev/mapper/SYSTEM-SWAP_crypt
cryptsetup luksClose SYSTEM-SWAP_crypt
Сообщать cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему>
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksFormat /dev/mapper/SYSTEM-SWAP --key-file -
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksOpen /dev/mapper/SYSTEM-SWAP SYSTEM-SWAP_crypt --key-file -
mkswap /dev/mapper/SYSTEM-SWAP_crypt
] сообщите системе о разделе подкачки, отредактируйте crypttab>
nano /etc/crypttab
=? убедитесь, что две строки соответствуют
SYSTEM-OS_crypt UUID=uuid-of-luks-containing-osroot none luks
SYSTEM-SWAP_crypt UUID=uuid-of-luks-containing-swap SYSTEM-OS_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
сообщают системе о разделе подкачки, отредактируйте fstab>
nano /etc/fstab
=? убедитесь, что u имеет эту строку
/dev/mapper/SYSTEM-SWAP_crypt swap swap sw 0 0
рассказать системе о разделе подкачки, редактировать резюме>
nano /etc/initramfs-tools/conf.d/resume
=? убедитесь, что u имеет эту строку
RESUME=UUID=uuid-of-encrypted-swap-SYSTEM-SWAP_crypt
update initramfs на загрузочном разделе>
update-initramfs -u -k all
ответ, вдохновленный этот блог :
Если вы используете зашифрованную систему Debian, у вас наверняка возникнут некоторые требования к безопасности. Если это так, вы также должны использовать зашифрованный раздел подкачки.
Раздел подкачки может быть зашифрован двумя способами:
- он может быть воссоздан при каждой загрузке, используя случайную кодовую фразу или
- , он может быть создан как другие зашифрованные тома с помощью постоянной кодовой фразы
. Если вы хотите использовать suspend-to-disk, вы не можете использовать первый подход, так как он перезапишет ваш объем памяти, хранящийся в разделе подкачки. Кроме того, вы не можете использовать файл ключей, как и другие разделы, поскольку корневая файловая система не монтируется (и не должна) к моменту начала процесса возобновления и должна читать дешифрованный раздел подкачки.
Я решил решить это, сообщив cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему; пакет cryptsetup реализует это с помощью
/lib/cryptsetup/scripts/decrypt_derived
. Таким образом, чтобы настроить раздел подкачки, я делаю следующее, предполагая, чтоhda2
является разделом, содержащим зашифрованный своп, и корневая файловая система находится вhda5_crypt
:swapoff /dev/mapper/hda2_crypt cryptsetup luksClose hda2_crypt dd if=/dev/urandom of=/dev/hda2 /lib/cryptsetup/scripts/decrypt_derived hda5_crypt \ | cryptsetup luksFormat /dev/hda2 --key-file - /lib/cryptsetup/scripts/decrypt_derived hda5_crypt \ | cryptsetup luksOpen /dev/hda2 hda2_crypt --key-file - mkswap /dev/mapper/hda2_crypt
Чтобы сообщить системе о этот раздел подкачки, мы должны добавить его к
/etc/crypttab
и/etc/fstab
; убедитесь, что эти файлы содержат строки, такие как:
/etc/crypttab
:hda2_crypt /dev/hda2 hda5_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
/etc/fstab
:/dev/mapper/hda2_crypt swap swap sw 0 0
При этом на месте , как только вы настроите систему на приостановку на диск, раздел подкачки будет автоматически настроен рядом с корневой файловой системой очень рано во время последовательности загрузки. Чтобы выяснить, какой раздел подкачки сделать доступным в этой точке, cryptsetup проверяет следующее:
- такую строку, как
RESUME=/dev/mapper/hda2_crypt
в/etc/initramfs-tools/conf.d/resume
- , установку устройства возобновления в
/etc/uswsusp.conf
(см.uswsusp.conf(5)
)- запись в
/etc/suspend.conf
- a
resume=/dev/mapper/hda2_crypt
в командной строке ядраВы может проверить
blockquote>/usr/share/initramfs-tools/hooks/cryptroot
, если вы хотите узнать об этом больше.
Вероятно, это указывает на то, что раздел подкачки обращается во время процесса загрузки initramfs
. На этом этапе корневая файловая система еще не смонтирована, поэтому любые файлы конфигурации, хранящиеся там, не будут видны.
Пока пространство подкачки монтируется после корневой файловой системы, есть причина для initramfs
процесс инициализации для доступа к месту подкачки: при спячке на вашем компьютере содержимое памяти и состояние системы записываются для свопинга. Чтобы вернуться из спящего режима, необходимо проверить, содержит ли пространство подкачки изображение спящего режима, которое потребует пропущенной фразы.
Если вы не возражаете потерять возможность возобновления спячки, вы можете отключите это поведение, отредактировав /etc/initramfs-tools/conf.d/resume
и закомментировав строку, начиная с RESUME =
. После внесения изменений запустите update-initramfs -u
, чтобы обновить изображение initramfs
.
Был тот же вопрос, вот как я сделал это на ubuntu 12.04.1 и 12.10,
u need для настройки UUID, SYSTEM-SWAP_crypt, SYSTEM-OS_crypt, SYSTEM-SWAP, SYSTEM-OS для изменения, используемого в вашей системе, см. ссылку ссылки ниже моего решения для получения дополнительной информации
Получить UUID:
blkid
Подготовить>
swapoff /dev/mapper/SYSTEM-SWAP_crypt
cryptsetup luksClose SYSTEM-SWAP_crypt
Сообщать cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему>
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksFormat /dev/mapper/SYSTEM-SWAP --key-file -
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksOpen /dev/mapper/SYSTEM-SWAP SYSTEM-SWAP_crypt --key-file -
mkswap /dev/mapper/SYSTEM-SWAP_crypt
] сообщите системе о разделе подкачки, отредактируйте crypttab>
nano /etc/crypttab
=? убедитесь, что две строки соответствуют
SYSTEM-OS_crypt UUID=uuid-of-luks-containing-osroot none luks
SYSTEM-SWAP_crypt UUID=uuid-of-luks-containing-swap SYSTEM-OS_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
сообщают системе о разделе подкачки, отредактируйте fstab>
nano /etc/fstab
=? убедитесь, что u имеет эту строку
/dev/mapper/SYSTEM-SWAP_crypt swap swap sw 0 0
рассказать системе о разделе подкачки, редактировать резюме>
nano /etc/initramfs-tools/conf.d/resume
=? убедитесь, что u имеет эту строку
RESUME=UUID=uuid-of-encrypted-swap-SYSTEM-SWAP_crypt
update initramfs на загрузочном разделе>
update-initramfs -u -k all
ответ, вдохновленный этот блог :
Если вы используете зашифрованную систему Debian, у вас наверняка возникнут некоторые требования к безопасности. Если это так, вы также должны использовать зашифрованный раздел подкачки.
Раздел подкачки может быть зашифрован двумя способами:
- он может быть воссоздан при каждой загрузке, используя случайную кодовую фразу или
- , он может быть создан как другие зашифрованные тома с помощью постоянной кодовой фразы
. Если вы хотите использовать suspend-to-disk, вы не можете использовать первый подход, так как он перезапишет ваш объем памяти, хранящийся в разделе подкачки. Кроме того, вы не можете использовать файл ключей, как и другие разделы, поскольку корневая файловая система не монтируется (и не должна) к моменту начала процесса возобновления и должна читать дешифрованный раздел подкачки.
Я решил решить это, сообщив cryptsetup для вычисления парольной фразы раздела подкачки из ключа дешифрования тома, содержащего корневую файловую систему; пакет cryptsetup реализует это с помощью
/lib/cryptsetup/scripts/decrypt_derived
. Таким образом, чтобы настроить раздел подкачки, я делаю следующее, предполагая, чтоhda2
является разделом, содержащим зашифрованный своп, и корневая файловая система находится вhda5_crypt
:swapoff /dev/mapper/hda2_crypt cryptsetup luksClose hda2_crypt dd if=/dev/urandom of=/dev/hda2 /lib/cryptsetup/scripts/decrypt_derived hda5_crypt \ | cryptsetup luksFormat /dev/hda2 --key-file - /lib/cryptsetup/scripts/decrypt_derived hda5_crypt \ | cryptsetup luksOpen /dev/hda2 hda2_crypt --key-file - mkswap /dev/mapper/hda2_crypt
Чтобы сообщить системе о этот раздел подкачки, мы должны добавить его к
/etc/crypttab
и/etc/fstab
; убедитесь, что эти файлы содержат строки, такие как:
/etc/crypttab
:hda2_crypt /dev/hda2 hda5_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
/etc/fstab
:/dev/mapper/hda2_crypt swap swap sw 0 0
При этом на месте , как только вы настроите систему на приостановку на диск, раздел подкачки будет автоматически настроен рядом с корневой файловой системой очень рано во время последовательности загрузки. Чтобы выяснить, какой раздел подкачки сделать доступным в этой точке, cryptsetup проверяет следующее:
- такую строку, как
RESUME=/dev/mapper/hda2_crypt
в/etc/initramfs-tools/conf.d/resume
- , установку устройства возобновления в
/etc/uswsusp.conf
(см.uswsusp.conf(5)
)- запись в
/etc/suspend.conf
- a
resume=/dev/mapper/hda2_crypt
в командной строке ядраВы может проверить
blockquote>/usr/share/initramfs-tools/hooks/cryptroot
, если вы хотите узнать об этом больше.
Вероятно, это указывает на то, что раздел подкачки обращается во время процесса загрузки initramfs
. На этом этапе корневая файловая система еще не смонтирована, поэтому любые файлы конфигурации, хранящиеся там, не будут видны.
Пока пространство подкачки монтируется после корневой файловой системы, есть причина для initramfs
процесс инициализации для доступа к месту подкачки: при спячке на вашем компьютере содержимое памяти и состояние системы записываются для свопинга. Чтобы вернуться из спящего режима, необходимо проверить, содержит ли пространство подкачки изображение спящего режима, которое потребует пропущенной фразы.
Если вы не возражаете потерять возможность возобновления спячки, вы можете отключите это поведение, отредактировав /etc/initramfs-tools/conf.d/resume
и закомментировав строку, начиная с RESUME =
. После внесения изменений запустите update-initramfs -u
, чтобы обновить изображение initramfs
.
initramfs
. Хотя он избавится от подсказки парольной фразы, он также сделает ее доступной для всех, у кого есть физический доступ к диску.
– James Henstridge
20 May 2011 в 07:58