Я установил 12.10 на машине с двумя дисками. Корневой раздел находится на одном диске, раздел подкачки - на другом. Оба диска зашифрованы, и я добавил соответствующие записи в /etc/crypttab
.
Во время загрузки запрашивается пароль для диска с корневой файловой системой. Затем он продолжает загрузку и попадает на экран входа в систему, прежде чем я получаю возможность ввести фразу-пароль для другого диска. После входа в систему я убедился, что он действительно ждал, когда я введу фразу-пароль для этого второго раздела (процесс askpass
запущен). Но в этот момент я больше не могу вводить фразу-пароль.
Справочная страница для crypttab
предполагает, что порядок, в котором указаны тома, имеет значение, поэтому я изменил его, чтобы сначала иметь подкачку диска. Впоследствии я обновил initramfs и grub, но это не имело никакого значения.
Как указать порядок, в котором зашифрованные разделы разблокированы? Я ищу решение, которое сначала запрашивает парольную фразу подкачки или просит систему подождать, пока все зашифрованные разделы не будут разблокированы, прежде чем отобразить экран входа в систему.
В идеале я хочу использовать гибернацию, то есть не использовать случайный ключ для подкачки и не кодировать ключ в crypttab.
После еще нескольких копаний я нашел скрипт decrypt_derived
. Это позволяет получить парольную фразу из другого зашифрованного раздела. Я настроил раздел подкачки таким образом, внес необходимые изменения в /etc/crypttab
, и он работает! Мне нужно ввести только одну фразу-пароль, второй раздел автоматически разблокируется во время загрузки и гибернации.
Подробнее, например здесь .
Если вас не интересует режим гибернации, вы можете поместить пароль для зашифрованного раздела подкачки в файл в корневом разделе. /etc/crypttab
может затем указать на этот файл, и вы можете полностью обойти эту проблему. Это не угроза безопасности, поскольку ваш корневой диск зашифрован. В качестве бонуса, поскольку вы не планируете использовать спящий режим, вы можете использовать файл подкачки каждый раз, используя случайный ключ, установив для этого файла значение /dev/urandom
. Если вы опубликуете свой crypttab
, я буду рад показать вам модификации, которые вам нужно сделать.