Я пытаюсь заставить MAAS/Curtin шифровать один диск при развертывании и пока что сталкиваюсь с некоторыми препятствиями при реализации шифрования с помощью модуля dm_crypt от curtin.
Я могу заставить curtin настроить тома LVM так, как мне нужно, но когда я добавляю часть шифрования, я не совсем понимаю, как смонтировать зашифрованный том(ы) после его установки. Должно ли это быть сделано как "поздняя команда"? Меня не слишком беспокоит наличие ключа шифрования в конфигурационном файле, поскольку я меняю все после установки с помощью Ansible.
Это копия моей существующей конфигурации хранилища в /etc/maas/preseed/etc...:
storage:
version: 1
config:
- id: sda
type: disk
ptable: gpt
path: /dev/sda
name: main_disk
preserve: false
wipe: superblock-recursive
grub_device: true
- id: sda1
type: partition
size: 3GB
device: sda
flag: boot
- id: sda5
type: partition
size: 50G
flag: logical
device: sda
- id: volgroup1
name: vg1
type: lvm_volgroup
devices:
- sda5
- id: lvm_crypt_1
type: dm_crypt
dm_name: lvm_crypt
volume: sda5
key: testkeytestkeytestkey12345
- id: sda1_root
type: format
fstype: fat32
volume: sda1
- id: sda1_mount
type: mount
path: /
device: sda1_root
- id: lv1_mount
type: mount
path: /
fstype: "ext4"
device: lvm_crypt_1
в документации curtin есть примечание...
Примечание. Зашифрованные диски и разделы отслеживаются в /etc/crypttab и монтируются во время загрузки.
См. последний раздел команды Dm-Crypt. https://curtin.readthedocs.io/en/latest/topics/storage.html#dm-crypt-command