Если bootstrap вернулась, все это означает, что juju смогла сказать сапожнику (основной части сервера-ассистента оркестра) для загрузки машины. Если у вас нет контроля мощности, определенного для профилей / систем в сапожнике, и / или у вас нет загрузки PXE по умолчанию на этом компьютере, вам все равно придется вручную перезагрузить сервер и привести к его загрузке PXE. что он устанавливает новый Ubuntu и запускает агенты juju при первой загрузке.
Кроме того, если вы не хотите, чтобы загрузочный лоток «брал» одну из ваших настоящих машин, вам нужно определить профиль для виртуальной машины внутри сапожника, а затем загрузить эту виртуальную машину. Другой способ взломать это на сервере сапожника, пока вы все еще просто возитесь с juju, - это просто прочитать файл предварительного семени, определенный для поддельной системы, и запустить агентов / zookeeper напрямую. Тем не менее, это выходит за рамки этого вопроса.
Голый металлический сюжет по-прежнему очень новенький в юю (он был таким же Доказательством концепции, как и все в 11.10), и все еще развивается. Я бы порекомендовал следовать его прогрессии в списке рассылки juju и в #juju на Freenode, так как он, вероятно, станет более плавным, так как примеры использования станут более понятными.
Основываясь на ответе @ johnf, но используя mount.ecryptfs_private, вместо этого:
зашифрован /home/bob/ (например, на SSD), используя обычную зашифрованную домашнюю ди-магию Ubuntu. зашифрованный /media/hdd/bob_extra/ (например, на жестком диске), который должен быть установлен на /home/bob/extra. Это должно авторизоваться при входе в систему, как это делает домашний каталог. используйте те же ключи / учетные данные для обоих.mkdir /media/hdd/bob_extra
cp /home/bob/.ecryptfs/Private.sig /home/bob/.ecryptfs/extra.sig
echo "/media/hdd/bob_extra /home/bob/extra ecryptfs none 0 0" > /home/bob/.ecryptfs/extra.conf
mount.ecryptfs_private extra
mount, вы должны увидеть:
...
/media/hdd/bob_extra on /home/bob/extra type ecryptfs (ecryptfs_check_dev_ruid,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs,ecryptfs_sig=12345678abcdef,ecryptfs_fnek_sig=abcdef12345678)
Чтобы отключить:
sudo umount /media/hdd/bob_extra
Создайте /home/bob/bin/automount_ecryptfs.extra, который установит его, если он еще не был установлен.
#!/bin/bash
MOUNT_POINT=/home/bob/extra
grep -q $MOUNT_POINT /proc/mounts
if [ $? -eq 1 ]; then
mount.ecryptfs_private extra
fi
Сделайте его исполняемым (chmod +x), затем добавьте его в /home/bob/.bashrc:
...
/home/bob/bin/automount_ecryptfs.extra
Затем добавьте его в приложения запуска Gnome.
Когда я написал этот ответ несколько лет назад, это был лучший способ реализовать решение. Теперь я предлагаю вам посмотреть следующий ответ, используя mount.ecryptfs_private.
Я также искал способ автоматического монтирования второго тома eCryptfs. Следующий сборник сценариев и модификаций конфигурации будет безопасно и автоматически монтировать ваш том при входе в систему либо в графический интерфейс, либо в интерфейс командной строки.
Существует лучшее решение, которое находится в процессе создания (хотя я думаю, что нет полностью готов к автоматическому монтажу при входе пользователя, поскольку такой сценарий будет иметь ограниченный срок хранения.):
Безопасность сценарии зависят от того, что ваш домашний каталог зашифрован с помощью eCryptfs, чтобы зашифровать скрипт и файлы с паролем для разворачивания вашей кодовой фразы. Если вы оставите свой компьютер разблокированным при открытии корневой оболочки после входа в систему, можно будет получить доступ к паролям, однако использование sudo NOPASSWD позволяет безопасно монтировать раздел без необходимости ввода пароля или оставить парольную фразу в файле, который читается пользователем.
Один из известных недостатков этих сценариев заключается в том, что ваш второй том не будет отключен при выходе из системы, поэтому он не подходит для многопользовательских систем.
Мое решение реализовано с несколькими частями , два сценария оболочки, один из которых выполняет фактический монтаж, а другой, который служит в качестве оболочки для него.
Это сценарий оболочки, который проверяет, если каталог уже установлен, если это не так, это будет вызовите сценарий монтирования, используя sudo:
/ home / johnf / scripts / automount_ecryptfs
#!/bin/bash
MOUNT_POINT=/home/johnf/slow
grep -q $MOUNT_POINT /proc/mounts
if [ $? -eq 1 ]; then
sudo /home/johnf/scripts/mount_other_ecryptfs
fi
Этот скрипт вызывает / home / johnf / scripts / mount_other_ecryptfs, который выглядит следующим образом.
Обратите внимание, что этот скрипт предполагает, что вы включили шифрование имени файла, если вам это не понадобится, либо нужно изменить скрипт для обработки обнаружения (посмотрите на ecryptfs-recover-private), либо вы можете удалить ecryptfs_fnek_sig mount.
Ниже приведен сценарий / home / johnf / scripts / mount_other_ecryptfs:
#!/bin/bash
ENCRYPTED_VOLUME=/vol0/.ecryptfs/johnf/.Private/
MOUNT_POINT=/home/johnf/slow
PASSFILE=/home/johnf/scripts/ecryptfs_passphrase
MOUNT_PASSWORD=secret_passphrase
ECRYPTFS_SIG=`head -1 ${ENCRYPTED_VOLUME}//../.ecryptfs/Private.sig`
ECRYPTFS_FNEK_SIG=`tail -1 ${ENCRYPTED_VOLUME}//../.ecryptfs/Private.sig`
printf "%s" $MOUNT_PASSWORD | ecryptfs-insert-wrapped-passphrase-into-keyring ${ENCRYPTED_VOLUME}/../.ecryptfs/wrapped-passphrase
mount -t ecryptfs -o key=passphrase:passfile=${PASSFILE},ecryptfs_sig=${ECRYPTFS_SIG},ecryptfs_fnek_sig=${ECRYPTFS_FNEK_SIG},ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n ${ENCRYPTED_VOLUME} ${MOUNT_POINT}
Вам также понадобится создайте в нем файл с вашим паролем, этот файл будет использоваться командой mount eCryptfs:
/ home / johnf / scripts / ecryptfs_passphrase:
passwd=secret_passphrase
Вам необходимо изменить разрешения для нескольких файлов:
chmod +x /home/johnf/scripts/automount_ecryptfs
sudo chown root:root /home/johnf/scripts/mount_other_ecryptfs /home/johnf/scripts/ecryptfs_passphrase
sudo chmod a=x /home/johnf/scripts/mount_other_ecryptfs
sudo chmod 400 /home/johnf/scripts/ecryptfs_passphrase
Перед созданием скриптов вам необходимо создать конфигурацию sudoers, чтобы разрешить выполнение монтажного скрипта с использованием sudo без ввода пароля sudo.
Добавьте в файл / etc / sudoers (или файл в /etc/sudoers.d). Вы захотите заменить johnf своим именем пользователя. Необходимо использовать абсолютный путь к монтажному скрипту.
johnf ALL = NOPASSWD: /home/johnf/scripts/mount_other_ecryptfs
Последний шаг - вызвать скрипт automount_ecryptfs при входе в систему.
В Ubuntu Unity (и, вероятно, gnome) используйте апплет запуска приложений для создания новой программы запуска, которая вызывает /home/johnf/scripts/automount_ecryptfs.
Чтобы автоматически монтировать второй том eCryptfs при входе в оболочку bash, вы захотите изменить свой файл ~ /. файл bashrc. Добавьте следующее:
/home/johnf/scripts/automount_ecryptfs
. При такой конфигурации вы должны теперь автоматически монтировать второй том eCryptfs.
Создайте сценарий в зашифрованном домашнем каталоге: ~/scripts/mount_storage.sh:
#!/bin/bash
sudo cryptsetup open --type luks UUID=12e26119-0ee2-4eb4-bd40-d8a3547ecf0c storage --key-file ~/keys/storage_keyfile
sudo mount /dev/mapper/storage /storage
Добавить в «Запуск приложений»:
sh ~/scripts/mount_storage.sh
Добавить в /etc/sudoers: [ ! d2]
%sudo ALL= NOPASSWD: /sbin/cryptsetup open --type luks UUID=12e26119-0ee2-4eb4-bd40-d8a3547ecf0c storage --key-file *
%sudo ALL= NOPASSWD: /bin/mount /dev/mapper/storage /storage
Вам нужно создать точку монтирования /storage и изменить UUID в приведенном выше скрипте (найти его с помощью blkid).
Я боюсь, что это не будет популярным ответом ...
Невозможно автоматически смонтировать любой зашифрованный раздел, не обойдя безопасность самого шифрования.
Подумайте о том, что означает «автоматически», и понимайте, что автоматически означает, что они также смогут увидеть ваши данные.