Запуск зашифрованного жесткого диска LUKS при загрузке

19

У меня есть Xubuntu 14.04 на SSD-устройстве ( HOME был зашифрован правильно во время инталлации), кроме того, у меня есть жесткий диск с зашифрованным разделом с дополнительными данными, которые я хотел бы установить в / мнт / HDD . Для этого я выполнил следующие шаги:

(Раньше я зашифровал диск с помощью LUKS после этого сообщения Ссылка )

Проверьте UUID

sudo blkid 
/dev/sda1: UUID="b3024cc1-93d1-439f-80ce-1b1ceeafda1e" TYPE="crypto_LUKS"

Создайте ключевой файл с помощью ключевой фразы и сохраните его в моем HOME (который также зашифрован).

sudo dd if=/dev/urandom of=/home/[USERNAME]/.keyfiles/key_luks bs=1024 count=4
sudo chmod 0400 .keyfiles/key_luks

Добавить ключ

sudo cryptsetup luksAddKey /dev/sda1 /home/zeugor/.keyfiles/key_luks

Новая запись в файле / etc / crypttab

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e /home/[USERNAME]/.keyfiles/key_luks luks

Обновить исходный ramdisk

sudo update-initramfs -u -k all

Затем, чтобы проверить его, я использовал следующую команду для запуска cryptdisks:

sudo cryptdisks_start hddencrypted 
 * Starting crypto disk...                                                       
 * hddencrypted (starting)..
 * hddencrypted (started)... 

Чтобы проверить hddencrypted :

ls /dev/mapper/
control  hddencrypted

Создать точку монтирования

mkdir /mnt/hdd

Новая запись в файле / etc / fstab

/dev/mapper/hddencrypted /mnt/hdd ext4 defaults 0 2

Подтвердите fstab без перезагрузки:

sudo mount -a

Закрепить зашифрованный раздел при загрузке

Теперь я смонтировал его в / mnt / hdd, как я предложил. Но мне нравится делать это автоматически после перезагрузки. Но прежде чем я смогу войти в систему, я получаю эту ошибку:

the disk drive for /mnt/hdd is not ready yet or not permit

Все это заставляет меня думать, что / etc / crypttab не может получить доступ к ключевому файлу, который находится в моем HOME (другой зашифрованный раздел). Я не знаю порядка, который система следует за незашифрованным и монтирует единицы. Мой HOME должен быть незашифрован перед моим жестким диском для предоставления доступа к чтению ключевого файла.

Буду признателен за то, почему это происходит.

UPDATE: Если я найду ключевой файл в / boot (не зашифрованный), а не в моем / home / [USERNAME] (зашифрованном) / dev / sda1 и обновление записи в / etc / crypttab отлично монтируется во время загрузки.     

задан zeugor 19.04.2014 в 22:26
источник

3 ответа

6

Ключевой файл в каталоге / boot может быть прочитан любой другой операционной системой, загруженной на вашем компьютере, которая может монтировать файловую систему на этом / boot. Таким образом, шифрование не очень эффективно. Этот аргумент применяется ко всем ключевым файлам в незашифрованных файловых системах.

Чтобы избежать ключевых файлов в незашифрованных файловых системах, для дешифрования может использоваться пароль. Создайте надежный пароль для устройства. Затем измените строку в / etc / crypttab на

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e none luks

и сохраните запись в / etc / fstab без изменений. Ubuntu 14.04 запрашивает пароль при запуске.     

ответ дан Dominik Grether 25.10.2014 в 12:05
3

Работает ли он, если вы замените «defaults» в fstab на

rw,suid,dev,exec,auto,user,async,relatime

(Согласно странице man mount, это то же самое, что и «defaults», кроме «user».)

    
ответ дан solt87 04.08.2014 в 17:51
0

Убедитесь, что в hddencrypted разделе указан после домашний раздел, как /etc/fstab , так и /etc/crypttab . Поскольку в man-странице crypttab (5) указано:

  

Порядок записей в          crypttab важен, потому что скрипты init последовательно повторяются через crypttab, делая          их вещь.

Также вы можете попробовать добавить параметр noearly в последний раздел в /etc/crypttab :

hddencrypted UUID=<...> /home/[USERNAME]/.keyfiles/key_luks luks,noearly

В обычной ситуации вы можете указать, что домашний раздел должен быть установлен первым, добавив его в CRYPTDISKS_MOUNT в /etc/default/cryptdisks , но поскольку он сам зашифрован, у меня возникает ощущение, что это не будет хорошей идеей.     

ответ дан Aryeh Leib Taurog 06.08.2014 в 23:14