Как надежно смонтировать раздел LUKS при входе в систему?
Я хочу получить доступ к разделу зашифрованных данных LUKS после входа в систему, идеально не вводя пароль, очевидно, безопасным способом.
Мой корневой каталог также шифруется с LUKS.
Я нашел это учебное руководство: https://ubuntuforums.org/showthread.php? t=837416.
Это чувствует себя абсолютно небезопасным мне, поскольку любой загружающий живой CD может получить доступ root каталог, таким образом ключ, таким образом дешифрует данные другого раздела.
Вот то, что я сделал до сих пор,
Создайте новый ключ:
sudo dd if=/dev/urandom of=$HOME/.data_crypt_keyfile bs=1024 count=4
Сделайте это только для чтения для укоренения:
sudo chmod 0400 $HOME/.data_crypt_keyfile
Добавьте этот новый ключ к ключевым слотам LUKS:
sudo cryptsetup luksAddKey /dev/sdc1 $HOME/.data_crypt_keyfile
Как я автоматически открываю этот раздел после входа в систему и закрываю его, выходя из системы?
2 ответа
Если Ваша домашняя папка сама шифруется LUKS, не должно быть никакого пути к ключу, который будет считан без домашней дешифровываемой папки (который только происходит, когда Вы зарегистрированы).
, пока файл ключей на самом деле читается из Вашего пользовательского каталога (/home/<whatever>) а не /root, необходимо быть хорошо.
Что касается автомонтирования на входе в систему, можно использовать простой сценарий в Списке приложений Запуска (бегите за входом в систему, успешно выполняется, таким образом, это будет работать, пока Вы монтируете этот диск к пространству пользователя). Для выхода из системы можно настроить его для размонтирования при уничтожении X сессий .
Короче говоря, Вы сделали бы следующее:
- Создают маленький сценарий, который размонтирует зашифрованный диск от того, везде, где он смонтировался
- , Добавляет это к
session-cleanup-scriptв/etc/lightdm/lightdm.conf. Это будет работать каждый раз, когда любая сессия уничтожается, таким образом, это не может быть наилучшим вариантом.
Протесты
- , Как упомянуто прежде, сценарий автовыхода из системы работает, когда любой X сессий завершаются, таким образом, вероятно, что Ваш диск может быть случайно размонтирован, когда другой пользователь выходит из Вашей параллельной сессии. Однако это не будет проблемой, если Вы будете единственным пользователем, который поддерживает только сингл в рабочем состоянии X сессий.
- Точно так же НЕОБХОДИМО сохранить X сессий открытыми, даже в TTY, если Вы не хотите вручную монтировать/размонтировать устройство.
Можно использовать "pam_mount".
Вам будет нужен тот же пароль для Вашего пользователя и раздела. И также это не будет umount раздел после выхода из системы.
Вот объяснение , который помог мне получить то, в чем я нуждался для своей установки.