У меня есть зашифрованный диск, который смонтирован во время начальной загрузки. У меня есть три ключа для единицы:
Для необслуживаемой начальной загрузки (избегающий ввода пароля), я имею file1
сохраненный на Карте памяти, которую я вставляю в компьютер, прежде чем я запущу компьютер.
Я хочу удалить Карту памяти (просто отключают), когда система произошла, и сохраните зашифрованный диск открытым.
Однако я только сохраняю диск открытым, если я размонтировал правильно Карту памяти. Если я просто отключаю Карту памяти, зашифрованный диск "закрывается" снова.
/etc/fstab
UUID=<UUID> /mnt/usb ext4 defaults,nofail,x-systemd.device-timeout=1
/dev/mapper/cryptdrive /mnt/cryptdrive ext4 defaults,rw,nofail 0 0
Используя зашифрованный диск с Luks на Ubuntu 18.04
Если Ваш file1 является достаточно маленьким, можно сжать его в разрыве пост-MBR после MBR и перед запуском первого раздела при использовании MBR, конечно.
Это - больше технической проблемы, поскольку необходимо играть с dd
команда с корректным skip
и bs
параметр. Необходимо будет также использовать опцию, смещенную файлом ключей для определения запуска файла, как другие опции ниже к cryptsetup
.
Таким образом в деталях:
Первая проверка там является достаточным количеством комнаты для сжатия файла:
sudo fdisk -l /dev/sdx
Позвольте вызову s, запуску раздела; затем s*512-512
должны быть больше, чем размер Вашего файла ключей, в байтах (принимающий 512-байтовый размер сектора)
По крайней мере можно переместить запуск раздела с gparted, например.
Затем скопируйте свой файл ключей
sudo dd if=/path/to/my/key/file1 of=/dev/sdx bs=1 seek=1024
Я использовал 1024 здесь, но MBR составляет только 512 байтов поэтому, если Вы уверены, что можно использовать 512
в /etc/crypttab
cryptdrive UUID=<some UUID> /dev/disk/by-id/usb-_USB_DISK_2.0_11111111-0:0 luks,keyfile-offset=1024,keyfile-size=10222
Снова, необходимо скорректировать весь параметр:
Попробуйте это на флеш-карте без важных данных, на всякий случай что-то идет не так, как надо, или сделайте резервное копирование.
Другое решение состоит в том, чтобы хранить файл в необработанном разделе, не отформатированном с файловой системой.
Скажите, Вы добавляете второй раздел к своей флеш-карте: /dev/sdx2
Затем скопируйте свой файл в тот раздел:
sudo dd if=/path/to/my/key/file1 of=/dev/sdx2
Вы ничего не должны вставлять /etc/fstab
смонтировать любую файловую систему, потому что нет никого. Было бы лучше гарантировать, что никакой другой раздел не автосмонтирован на том ключе также. Можно использовать a noauto
опция в /etc/fstab
Просто передайте раздел непосредственно cryptsetup в /etc/crypttab
с
cryptdrive UUID=<some UUID> /dev/disk/by-partuuid/<some-uuid> luks,keyfile-size=10222
при использовании GPT еще используйте идентификатор
cryptdrive UUID=<some UUID> /dev/disk/by-id/usb-_USB_DISK_2.0_11111111-0:0-part2 luks,keyfile-size=10222
Необходимо пойти и закопать /dev/disk/by-id
найти корректное название Вашего раздела. Не используйте /dev/sdx2
назовите, поскольку это может измениться в любое время на что-то еще.
Необходимо указать размер файла с опцией размера файла ключей (в байтах, которые я предполагаю),