Монтировать LUKS зашифрованный жесткий диск при загрузке

У меня Xubuntu 14.04 на устройстве SSD ( HOME был правильно зашифрован во время установки), кроме того, у меня есть жесткий диск с зашифрованным разделом с дополнительными данными, которые я хотел бы смонтировать в / мнт / жесткий диск . Для этого я сделал следующие шаги:

(Ранее я зашифровал диск с помощью LUKS, следуя этому посту http://www.marclewis.com/2011/04/02/luks-encrypted- disc-under-ubuntu-1010 / )

Проверьте UUID

sudo blkid 
/dev/sda1: UUID="b3024cc1-93d1-439f-80ce-1b1ceeafda1e" TYPE="crypto_LUKS"

Создайте файл ключа с правой парольной фразой и сохраните его в моем HOME (который также зашифрован).

sudo dd if=/dev/urandom of=/home/[USERNAME]/.keyfiles/key_luks bs=1024 count=4
sudo chmod 0400 .keyfiles/key_luks

Добавить ключ

sudo cryptsetup luksAddKey /dev/sda1 /home/zeugor/.keyfiles/key_luks

Новая запись в / etc / crypttab

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e /home/[USERNAME]/.keyfiles/key_luks luks

Обновить начальный ramdisk

sudo update-initramfs -u -k all

Затем, чтобы проверить его, я использовал следующую команду для запуска криптодисков:

sudo cryptdisks_start hddencrypted 
 * Starting crypto disk...                                                       
 * hddencrypted (starting)..
 * hddencrypted (started)... 

Чтобы проверить, что был сопоставлен hddencrypted :

ls /dev/mapper/
control  hddencrypted

Создать точку монтирования

mkdir /mnt/hdd

Новая запись в / etc / fstab

/dev/mapper/hddencrypted /mnt/hdd ext4 defaults 0 2

Проверьте fstab без перезагрузки:

sudo mount -a

Смонтируйте зашифрованный раздел при загрузке

Теперь я смонтировал его в / mnt / hdd, как я предложил. Но я хотел бы сделать это автоматически после перезагрузки. Но прежде чем я могу войти, я получаю эту ошибку:

the disk drive for /mnt/hdd is not ready yet or not permit

Все это заставляет меня думать, что / etc / crypttab не может получить доступ к ключевому файлу, который находится в моем HOME (другой зашифрованный раздел). Я не знаю порядок следования системе зашифрованным и монтирующим устройства. Мой HOME должен быть незашифрован перед моим жестким диском для предоставления доступа к чтению ключевого файла.

1138 Я был бы признателен за понимание того, почему это происходит.

ОБНОВЛЕНИЕ: Если я нахожу ключевой файл в / boot (без шифрования), а не в моем / home / [USERNAME] (зашифрованном) / dev / sda1 и обновить запись в / etc / crypttab прекрасно смонтированы во время загрузки. [+1139]

24
задан 20 April 2014 в 17:03

3 ответа

Файл ключей в каталоге начальной загрузки / может быть считан любой другой операционной системой, загруженной на Вашей машине, которая в состоянии смонтировать, что файловая система на той начальной загрузке / расположена. Таким образом шифрование не является действительно эффективным. Этот аргумент относится ко всем местоположениям файла ключей в незашифрованных файловых системах.

Для предотвращения файлов ключей в незашифрованных файловых системах пароль может использоваться для дешифрования. Создайте сильный пароль для устройства. Затем измените строку в/etc/crypttab к

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e none luks

и сохраните запись в/etc/fstab неизмененной. Ubuntu 14.04/16.04/18.04 просит у Вас пароль на запуске.

0
ответ дан 20 April 2014 в 17:03

Это работает при замене "значений по умолчанию" в fstab с

rw,suid,dev,exec,auto,user,async,relatime

(Согласно эти , монтируются страница справочника, это совпадает со "значениями по умолчанию" за исключением "пользователя".)

0
ответ дан 20 April 2014 в 17:03

Удостоверьтесь, что hddencrypted раздел перечислен после домашний раздел, и в /etc/fstab и в /etc/crypttab. Как crypttab (5) состояния страницы справочника:

порядок записей в crypttab важен, потому что init сценарии последовательно выполняют итерации через crypttab выполнения их вещи.

Также Вы могли попытаться добавить noearly опция к последнему разделу в /etc/crypttab:

hddencrypted UUID=<...> /home/[USERNAME]/.keyfiles/key_luks luks,noearly

В нормальной ситуации, Вы могли указать, что домашний раздел должен быть смонтирован сначала путем добавления его к CRYPTDISKS_MOUNT в /etc/default/cryptdisks, но так как это самостоятельно шифруется, у меня есть чувство, которое не было бы хорошей идеей.

0
ответ дан 20 April 2014 в 17:03

Другие вопросы по тегам:

Похожие вопросы: