Порядок, в котором запрашивается пароль для зашифрованных томов

Я установил 12.10 на машине с двумя дисками. Корневой раздел находится на одном диске, раздел подкачки - на другом. Оба диска зашифрованы, и я добавил соответствующие записи в /etc/crypttab.

Во время загрузки запрашивается пароль для диска с корневой файловой системой. Затем он продолжает загрузку и попадает на экран входа в систему, прежде чем я получаю возможность ввести фразу-пароль для другого диска. После входа в систему я убедился, что он действительно ждал, когда я введу фразу-пароль для этого второго раздела (процесс askpass запущен). Но в этот момент я больше не могу вводить фразу-пароль.

Справочная страница для crypttab предполагает, что порядок, в котором указаны тома, имеет значение, поэтому я изменил его, чтобы сначала иметь подкачку диска. Впоследствии я обновил initramfs и grub, но это не имело никакого значения.

Как указать порядок, в котором зашифрованные разделы разблокированы? Я ищу решение, которое сначала запрашивает парольную фразу подкачки или просит систему подождать, пока все зашифрованные разделы не будут разблокированы, прежде чем отобразить экран входа в систему.

В идеале я хочу использовать гибернацию, то есть не использовать случайный ключ для подкачки и не кодировать ключ в crypttab.

2
задан 28 October 2012 в 15:58

2 ответа

После еще нескольких копаний я нашел скрипт decrypt_derived. Это позволяет получить парольную фразу из другого зашифрованного раздела. Я настроил раздел подкачки таким образом, внес необходимые изменения в /etc/crypttab, и он работает! Мне нужно ввести только одну фразу-пароль, второй раздел автоматически разблокируется во время загрузки и гибернации.

Подробнее, например здесь .

0
ответ дан 28 October 2012 в 15:58

Если вас не интересует режим гибернации, вы можете поместить пароль для зашифрованного раздела подкачки в файл в корневом разделе. /etc/crypttab может затем указать на этот файл, и вы можете полностью обойти эту проблему. Это не угроза безопасности, поскольку ваш корневой диск зашифрован. В качестве бонуса, поскольку вы не планируете использовать спящий режим, вы можете использовать файл подкачки каждый раз, используя случайный ключ, установив для этого файла значение /dev/urandom. Если вы опубликуете свой crypttab, я буду рад показать вам модификации, которые вам нужно сделать.

0
ответ дан 28 October 2012 в 15:58

Другие вопросы по тегам:

Похожие вопросы: