Разблокирование раздела LUKS с файлом ключей на USB не работает
Я частично следовал за этим
Что на самом деле делает/lib/cryptsetup/scripts/passdev?
/etc/crypttab
2tb UUID=... /dev/disk/by-label/STICK:/logfile luks,nofail,keyscript=/lib/cryptsetup/scripts/passdev,tries=2
У меня есть включенная палка, отформатировал ext2, маркируйте STICK файлом журнала с паролем в нем. Я использовал "нормальный" метод прежде, чем считать пароль из моего первого диска, что я - описание с вводом с клавиатуры.
2tb UUID=.. /etc/luks-keys/2tb luks,nofail,tries=1
И да я сделал sudo update-initramfs -u -k all && systemctl reboot бесконечно, но это просто не работает.
Я пытаюсь заставить это работать для возможного разблокирования моей всей системы только с включенной картой с интерфейсом USB, но не работа.
Я нахожусь в системе UEFI с безопасной начальной загрузкой, отключенной, если это имеет значение. Я считал что-то о модуле на связанную тему. Мне нужно что-либо загруженное специальное?
Также, где журнал для этого?
2 ответа
Для меня было бы идеально, если бы у меня была небольшая флешка с парольной фразой, которая разблокирует диск. Это не только удобно для серверов (где вы можете оставить USB-накопитель на сервере - цель состоит в том, чтобы иметь возможность возвращать сломанные жесткие диски без необходимости беспокоиться о конфиденциальных данных), но и для моего ноутбука: вставьте Флешка при загрузке и вынимайте ее после разблокировки криптодиска.
Я сейчас написал патч, который будет искать в корневом каталоге всех устройств файл «cryptkey.txt» и пытаться расшифровать каждую строку в качестве ключа. Если это не помогло: вернитесь к вводу парольной фразы.
Это означает, что ключ не может содержать \ n, но это также относится к любому введенному ключу. Хорошая часть заключается в том, что вы можете использовать один и тот же USB-диск для хранения ключа для нескольких компьютеров: вам не нужен отдельный USB-диск для каждого. Поэтому, если у вас есть USB-накопитель в вашем физическом брелоке, вы можете использовать один и тот же накопитель для всех машин, которые вы загружаете, находясь в физическом близости.
Вы добавляете ключ с помощью:
cryptsetup luksAddKey /dev/sda5
И затем помещаете тот же ключ, что и строка, в файл на диске USB / MMC, который называется «cryptkey.txt». Патч находится здесь:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=746806
Если драйверы USB, MMC Драйверы или файловые системы отсутствуют в ваших initramfs, вам нужно добавить их, добавив в / etc / initramfs-tools / modules:
uhci_hcd
ehci_hcd
usb_storage
nls_utf8
nls_cp437
vfat
fat
sd_mod
mmc_block
tifm_sd
tifm_core
mmc_core
tifm_7xx1
sdhci
sdhci_pci
Когда все будет сделано, обновите initramfs:
[ 112]После использования установщика для создания шифруемых устройств с помощью пароля с 16,04 и 18.04 необходимо добавить, следующее (кажется, связан с ошибкой):
Сценарий, который читает ключ на начальной загрузке/etc/decryptkeydevice/decryptkeydevice.sh
Измените конфигурацию/etc/initramfs-tools/conf.d/cryptroot
обманите initramfs в использование cryptroot файла/etc/initramfs-tools/hooks/decryptkeydevice.hook
и измените initramfs/etc/initramfs-tools/modules
https://github.com/Codeuctivity/UnlockLuksOnBootByToken помещает шаги в initAutoUnlockOnBootConfig.sh вместе - выполняются как корень:
sudo dd if=/dev/urandom of=/dev/sdb bs=512 seek=1 count=60
sudo dd if=/dev/sdb bs=512 skip=1 count=4 > tempKeyFile.bin
sudo cryptsetup luksAddKey /dev/sda5 tempKeyFile.bin
# copy config
mkdir /etc/decryptkeydevice
# update device ids in in this file
cp decryptkeydevice.sh /etc/decryptkeydevice/decryptkeydevice.sh
chmod +x /etc/decryptkeydevice/decryptkeydevice.sh
cp cryptroot /etc/initramfs-tools/conf.d/cryptroot
chmod +x /etc/initramfs-tools/conf.d/cryptroot
cp decryptkeydevice.hook /etc/initramfs-tools/hooks/decryptkeydevice.hook
chmod +x /etc/initramfs-tools/hooks/decryptkeydevice.hook
cat modules >> /etc/initramfs-tools/modules
update-initramfs -u