У меня Xubuntu 14.04 на устройстве SSD ( HOME был правильно зашифрован во время установки), кроме того, у меня есть жесткий диск с зашифрованным разделом с дополнительными данными, которые я хотел бы смонтировать в / мнт / жесткий диск . Для этого я сделал следующие шаги:
(Ранее я зашифровал диск с помощью LUKS, следуя этому посту http://www.marclewis.com/2011/04/02/luks-encrypted- disc-under-ubuntu-1010 / )
Проверьте UUID
sudo blkid
/dev/sda1: UUID="b3024cc1-93d1-439f-80ce-1b1ceeafda1e" TYPE="crypto_LUKS"
Создайте файл ключа с правой парольной фразой и сохраните его в моем HOME (который также зашифрован).
sudo dd if=/dev/urandom of=/home/[USERNAME]/.keyfiles/key_luks bs=1024 count=4
sudo chmod 0400 .keyfiles/key_luks
Добавить ключ
sudo cryptsetup luksAddKey /dev/sda1 /home/zeugor/.keyfiles/key_luks
Новая запись в / etc / crypttab
hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e /home/[USERNAME]/.keyfiles/key_luks luks
Обновить начальный ramdisk
sudo update-initramfs -u -k all
Затем, чтобы проверить его, я использовал следующую команду для запуска криптодисков:
sudo cryptdisks_start hddencrypted
* Starting crypto disk...
* hddencrypted (starting)..
* hddencrypted (started)...
Чтобы проверить, что был сопоставлен hddencrypted :
ls /dev/mapper/
control hddencrypted
Создать точку монтирования
mkdir /mnt/hdd
Новая запись в / etc / fstab
/dev/mapper/hddencrypted /mnt/hdd ext4 defaults 0 2
Проверьте fstab без перезагрузки:
sudo mount -a
Смонтируйте зашифрованный раздел при загрузке
Теперь я смонтировал его в / mnt / hdd, как я предложил. Но я хотел бы сделать это автоматически после перезагрузки. Но прежде чем я могу войти, я получаю эту ошибку:
the disk drive for /mnt/hdd is not ready yet or not permit
Все это заставляет меня думать, что / etc / crypttab не может получить доступ к ключевому файлу, который находится в моем HOME (другой зашифрованный раздел). Я не знаю порядок следования системе зашифрованным и монтирующим устройства. Мой HOME должен быть незашифрован перед моим жестким диском для предоставления доступа к чтению ключевого файла.
1138 Я был бы признателен за понимание того, почему это происходит.
ОБНОВЛЕНИЕ: Если я нахожу ключевой файл в / boot (без шифрования), а не в моем / home / [USERNAME] (зашифрованном) / dev / sda1 и обновить запись в / etc / crypttab прекрасно смонтированы во время загрузки. [+1139]
Файл ключей в каталоге начальной загрузки / может быть считан любой другой операционной системой, загруженной на Вашей машине, которая в состоянии смонтировать, что файловая система на той начальной загрузке / расположена. Таким образом шифрование не является действительно эффективным. Этот аргумент относится ко всем местоположениям файла ключей в незашифрованных файловых системах.
Для предотвращения файлов ключей в незашифрованных файловых системах пароль может использоваться для дешифрования. Создайте сильный пароль для устройства. Затем измените строку в/etc/crypttab к
hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e none luks
и сохраните запись в/etc/fstab неизмененной. Ubuntu 14.04/16.04/18.04 просит у Вас пароль на запуске.
Это работает при замене "значений по умолчанию" в fstab с
rw,suid,dev,exec,auto,user,async,relatime
(Согласно эти , монтируются страница справочника, это совпадает со "значениями по умолчанию" за исключением "пользователя".)
Удостоверьтесь, что hddencrypted раздел перечислен после домашний раздел, и в /etc/fstab
и в /etc/crypttab
. Как crypttab (5)
состояния страницы справочника:
порядок записей в crypttab важен, потому что init сценарии последовательно выполняют итерации через crypttab выполнения их вещи.
Также Вы могли попытаться добавить noearly
опция к последнему разделу в /etc/crypttab
:
hddencrypted UUID=<...> /home/[USERNAME]/.keyfiles/key_luks luks,noearly
В нормальной ситуации, Вы могли указать, что домашний раздел должен быть смонтирован сначала путем добавления его к CRYPTDISKS_MOUNT
в /etc/default/cryptdisks
, но так как это самостоятельно шифруется, у меня есть чувство, которое не было бы хорошей идеей.