Сохраните зашифрованный диск открытым после того, как ключ будет удален из системы
У меня есть зашифрованный диск, который смонтирован во время начальной загрузки. У меня есть три ключа для единицы:
- Slot1: пароль
- Slot2: file1
- Slot3: file2
Для необслуживаемой начальной загрузки (избегающий ввода пароля), я имею file1 сохраненный на Карте памяти, которую я вставляю в компьютер, прежде чем я запущу компьютер.
Я хочу удалить Карту памяти (просто отключают), когда система произошла, и сохраните зашифрованный диск открытым.
Однако я только сохраняю диск открытым, если я размонтировал правильно Карту памяти. Если я просто отключаю Карту памяти, зашифрованный диск "закрывается" снова.
/etc/fstab
UUID=<UUID> /mnt/usb ext4 defaults,nofail,x-systemd.device-timeout=1
/dev/mapper/cryptdrive /mnt/cryptdrive ext4 defaults,rw,nofail 0 0
Используя зашифрованный диск с Luks на Ubuntu 18.04
1 ответ
1. В разрыве пост-MBR
Если Ваш file1 является достаточно маленьким, можно сжать его в разрыве пост-MBR после MBR и перед запуском первого раздела при использовании MBR, конечно.
Это - больше технической проблемы, поскольку необходимо играть с dd команда с корректным skip и bs параметр. Необходимо будет также использовать опцию, смещенную файлом ключей для определения запуска файла, как другие опции ниже к cryptsetup.
Таким образом в деталях:
Первая проверка там является достаточным количеством комнаты для сжатия файла:
sudo fdisk -l /dev/sdx
Позвольте вызову s, запуску раздела; затем s*512-512 должны быть больше, чем размер Вашего файла ключей, в байтах (принимающий 512-байтовый размер сектора)
По крайней мере можно переместить запуск раздела с gparted, например.
Затем скопируйте свой файл ключей
sudo dd if=/path/to/my/key/file1 of=/dev/sdx bs=1 seek=1024
Я использовал 1024 здесь, но MBR составляет только 512 байтов поэтому, если Вы уверены, что можно использовать 512
в
/etc/crypttabcryptdrive UUID=<some UUID> /dev/disk/by-id/usb-_USB_DISK_2.0_11111111-0:0 luks,keyfile-offset=1024,keyfile-size=10222
Снова, необходимо скорректировать весь параметр:
- смещенный файлом ключей - то, что Вы использовали прежде, быть этим 1024 или 512 или что бы то ни было.
- размер файла ключей является размером Вашего файла ключей в байтах
- и идентификатор Вашей флеш-карты, в которой можно найти/dev/disk/by-id, когда-то включенный.
Попробуйте это на флеш-карте без важных данных, на всякий случай что-то идет не так, как надо, или сделайте резервное копирование.
2. Необработанный раздел
Другое решение состоит в том, чтобы хранить файл в необработанном разделе, не отформатированном с файловой системой.
Скажите, Вы добавляете второй раздел к своей флеш-карте: /dev/sdx2
Затем скопируйте свой файл в тот раздел:
sudo dd if=/path/to/my/key/file1 of=/dev/sdx2
Вы ничего не должны вставлять /etc/fstab смонтировать любую файловую систему, потому что нет никого. Было бы лучше гарантировать, что никакой другой раздел не автосмонтирован на том ключе также. Можно использовать a noauto опция в /etc/fstab
Просто передайте раздел непосредственно cryptsetup в /etc/crypttab с
cryptdrive UUID=<some UUID> /dev/disk/by-partuuid/<some-uuid> luks,keyfile-size=10222
при использовании GPT еще используйте идентификатор
cryptdrive UUID=<some UUID> /dev/disk/by-id/usb-_USB_DISK_2.0_11111111-0:0-part2 luks,keyfile-size=10222
Необходимо пойти и закопать /dev/disk/by-id найти корректное название Вашего раздела. Не используйте /dev/sdx2 назовите, поскольку это может измениться в любое время на что-то еще.
Необходимо указать размер файла с опцией размера файла ключей (в байтах, которые я предполагаю),