Автоматическая загрузка для зашифрованного RAID?
Кроме того, вы можете дважды щелкнуть по нему и выбрать опцию «запустить в терминале». Для этого вам необходимо указать пароль (admin user).
2 ответа
Вам нужно будет поместить ключ шифрования из локальной консоли во время загрузки, если вы зашифруете диск ОС, используя встроенное полное шифрование диска Ubuntu.
Как представляется, существуют способы сохранения ключа шифрования для зашифрованный раздел, так что только root имеет доступ, если это подходит. Если у кого-то есть root-доступ, тогда у вас есть большая проблема. Раздел, в котором сохранен ключ, должен быть зашифрован, и его, возможно, придется вручную расшифровать.
Вы также можете вручную монтировать зашифрованный раздел и отказаться от сохранения файла ключа.
Я скопировал приведенные ниже шаги по этой ссылке: https://www.howtoforge.com/automatically-unlock-luks-encrypted-drives-with-a-keyfile Авторы оригинала автор Stephan Jau
Step 1: Создайте случайный ключевой файл
sudo dd if=/dev/urandom of=/root/keyfile bs=1024 count=4
Это создаст файл со случайным содержимым размером 4096 бит (лучше пароля 20/30 символов ...). Вы можете использовать любой файл для работы в качестве ключевого файла, но я думаю, что файл 4kb со случайным контентом хорошо подходит.
Шаг 1: Создайте случайный ключевой файл
sudo chmod 0400 /root/keyfile
Это сделает ключевой файл доступным только для root.
В качестве альтернативы вы можете использовать ваш нужный ключевой файл для root: root и переместить его в папку / root
. Если вы хотите получить доступ к этому ключевому файлу, тогда у вас будет больше проблем на вашем компьютере.
Шаг 3: Добавьте ключевой файл в LUKS
. Устройства с поддержкой LUKS / dm_crypt могут содержать до 10 различных ключевых файлов / паролей. Итак, рядом с уже установившимся паролем мы добавим этот ключевой файл в качестве дополнительного метода авторизации.
sudo cryptsetup luksAddKey /dev/sdX /root/keyfile
sdX - это, конечно, ваше устройство LUKS.
будет предложено ввести (существующий) пароль, чтобы разблокировать диск. Если все работает хорошо, вы должны получить такой вывод:
Enter any LUKS passphrase:
key slot 0 unlocked.
Command successful.
Шаг 3: Добавить ключевой файл в LUKS
Устройства LUKS необходимо создать который затем может быть указан в fstab. Откройте / etc / crypttab
sudo nano /etc/crypttab
и добавьте следующую строку:
sdX_crypt /dev/sdX /root/keyfile luks
или вы можете использовать UUID устройства:
sdX_crypt /dev/disk/by-uuid/247ad289-dbe5-4419-9965-e3cd30f0b080 /root/keyfile luks
sdX_crypt - это имя создаваемого преобразователя. Вы можете использовать здесь любое имя, например. «музыка» или «фильмы» или «sfdsfawe» ....
Сохраните и закройте файл, выставив ctrl-x, введите, введите. Ctrl-x закрывает nano, но сначала он просит сохранить файл [yes = enter] и что имя будет [то же имя = введите].
То, что мы там сделали, говорит, что / root / ключевой файл должен использоваться вместо ввода пароля для разблокировки диска.
Шаг 5: Установите устройство в fstab
Теперь у нас есть разблокированное устройство (ну, еще нет, но когда система загружается), и нам просто нужно установить ее сейчас. Откройте / etc / fstab:
sudo nano /etc/fstab
и добавьте новую запись, например:
/dev/mapper/sdX_crypt /media/sdX ext3 defaults 0 2
Убедитесь, что у вас есть правильное имя сопоставления, которое вы добавили на шаге 4. Также сделайте убедитесь, что точка монтирования / папка существует. После добавления файла сохраните файл и закройте его (ctrl-x, введите, введите).
Шаг 5: Установите устройство в fstab
Это оно. Теперь вы можете перезагрузиться, а дополнительные устройства должны быть автоматически разблокированы и смонтированы. Вы также можете протестировать его, перемонтировав все устройства:
sudo mount -a
Вам нужно будет поместить ключ шифрования из локальной консоли во время загрузки, если вы зашифруете диск ОС, используя встроенное полное шифрование диска Ubuntu.
Как представляется, существуют способы сохранения ключа шифрования для зашифрованный раздел, так что только root имеет доступ, если это подходит. Если у кого-то есть root-доступ, тогда у вас есть большая проблема. Раздел, в котором сохранен ключ, должен быть зашифрован, и его, возможно, придется вручную расшифровать.
Вы также можете вручную монтировать зашифрованный раздел и отказаться от сохранения файла ключа.
Я скопировал приведенные ниже шаги по этой ссылке: https://www.howtoforge.com/automatically-unlock-luks-encrypted-drives-with-a-keyfile Авторы оригинала автор Stephan Jau
Step 1: Создайте случайный ключевой файл
sudo dd if=/dev/urandom of=/root/keyfile bs=1024 count=4
Это создаст файл со случайным содержимым размером 4096 бит (лучше пароля 20/30 символов ...). Вы можете использовать любой файл для работы в качестве ключевого файла, но я думаю, что файл 4kb со случайным контентом хорошо подходит.
Шаг 1: Создайте случайный ключевой файл
sudo chmod 0400 /root/keyfile
Это сделает ключевой файл доступным только для root.
В качестве альтернативы вы можете использовать ваш нужный ключевой файл для root: root и переместить его в папку / root
. Если вы хотите получить доступ к этому ключевому файлу, тогда у вас будет больше проблем на вашем компьютере.
Шаг 3: Добавьте ключевой файл в LUKS
. Устройства с поддержкой LUKS / dm_crypt могут содержать до 10 различных ключевых файлов / паролей. Итак, рядом с уже установившимся паролем мы добавим этот ключевой файл в качестве дополнительного метода авторизации.
sudo cryptsetup luksAddKey /dev/sdX /root/keyfile
sdX - это, конечно, ваше устройство LUKS.
будет предложено ввести (существующий) пароль, чтобы разблокировать диск. Если все работает хорошо, вы должны получить такой вывод:
Enter any LUKS passphrase:
key slot 0 unlocked.
Command successful.
Шаг 3: Добавить ключевой файл в LUKS
Устройства LUKS необходимо создать который затем может быть указан в fstab. Откройте / etc / crypttab
sudo nano /etc/crypttab
и добавьте следующую строку:
sdX_crypt /dev/sdX /root/keyfile luks
или вы можете использовать UUID устройства:
sdX_crypt /dev/disk/by-uuid/247ad289-dbe5-4419-9965-e3cd30f0b080 /root/keyfile luks
sdX_crypt - это имя создаваемого преобразователя. Вы можете использовать здесь любое имя, например. «музыка» или «фильмы» или «sfdsfawe» ....
Сохраните и закройте файл, выставив ctrl-x, введите, введите. Ctrl-x закрывает nano, но сначала он просит сохранить файл [yes = enter] и что имя будет [то же имя = введите].
То, что мы там сделали, говорит, что / root / ключевой файл должен использоваться вместо ввода пароля для разблокировки диска.
Шаг 5: Установите устройство в fstab
Теперь у нас есть разблокированное устройство (ну, еще нет, но когда система загружается), и нам просто нужно установить ее сейчас. Откройте / etc / fstab:
sudo nano /etc/fstab
и добавьте новую запись, например:
/dev/mapper/sdX_crypt /media/sdX ext3 defaults 0 2
Убедитесь, что у вас есть правильное имя сопоставления, которое вы добавили на шаге 4. Также сделайте убедитесь, что точка монтирования / папка существует. После добавления файла сохраните файл и закройте его (ctrl-x, введите, введите).
Шаг 5: Установите устройство в fstab
Это оно. Теперь вы можете перезагрузиться, а дополнительные устройства должны быть автоматически разблокированы и смонтированы. Вы также можете протестировать его, перемонтировав все устройства:
sudo mount -a
-
1Я просто подумал об этом, но могу ли я поместить ключ шифрования в свою внутреннюю сеть? Таким образом, если кто-то украл мой компьютер, у них не было бы ключа шифрования, и данные сохранены. Сначала мне нужно было создать скрипт для установки устройства lan. Мысли? – user747242 27 March 2018 в 18:03
-
2@ user747242 Мне кажется хорошей идеей. Я не уверен, как настроить его, хотя – Paul Tanzini 30 March 2018 в 03:28