Obtendo o lsinitramfs para inicializar em um sistema de arquivos criptografados

Navegue suas respostas
0

Eu segui as instruções aqui . Eu tenho usado o LiveCD e não posso, por minha vida, persuadir o Ubuntu a criar um arquivo initramfs que estaria disposto a descriptografar meu sistema de arquivos LUKS. Não estou tendo problemas para passar pelo GRUB.

Ajuda? Tenho a sensação de que podemos fazer isso funcionar.

Quando chego ao estágio initramfs, posso executar o cryptsetup, mas recebo esta mensagem de erro: 

device-mapper: table: 252:0 crypt error allocating tfm

Também recebi uma mensagem dizendo "Verifique se o kernel suporta cifra aes-xts-plain64"

    
por ohmysql 08.09.2016 / 23:02

1 resposta

0

Ok, eu descobri!

Eu adaptei este guia, principalmente adicionando coisas até que funcionasse:

link

Eu modifiquei os arquivos um pouco desse guia, mas segui-lo de outra forma.

Apenas por precaução, adicionei essas linhas modprobe em /etc/initramfs-tools / scripts / local-top / cryptoroot: 

modprobe -q dm_crypt
modprobe -q sha256_generic
modprobe -q sha256
modprobe -q aes_generic
modprobe -q aes
modprobe -q cbc
modprobe -q xts
modprobe -q aes
modprobe -q aes_x86_64

O que dá: 

    PREREQ="udev"

prereqs()
{
        echo "$PREREQ"
}

case $1 in
# get pre-requisites
prereqs)
        prereqs
        exit 0
        ;;
esac
#This line from the Encrypted Entrepid tutorial didn't work for me
#/bin/loadkeys -q /etc/console-setup/boottime.kmap.gz
modprobe -q dm_crypt
modprobe -q sha256
modprobe -q sha256_generic
modprobe -q aes_generic
modprobe -q aes
modprobe -q cbc
modprobe -q xts
modprobe -q aes
modprobe -q aes_x86_64    
# The following command will ensure that the kernel is aware of
# the partition before we attempt to open it with cryptsetup.
/sbin/udevadm settle

if grep -q splash /proc/cmdline; then
    /bin/chvt 1
fi
/sbin/cryptsetup luksOpen CRYPTOROOT cryptoroot
if grep -q splash /proc/cmdline; then
       /sbin/usplash -c &
       sleep 1
fi

Para o arquivo acima (local-top), a linha CRYPTROOT precisa ser alterada.

Eu usei um arquivo-chave, então minha linha ficou assim: 

/sbin/cryptsetup luksOpen /dev/disk/by-uuid/xxxx --key-file /my_keyfile.bin cryptoroot

O arquivo de chaves não é necessário. O luksHeader pode ser aberto por uma senha (basta remover a opção key-file). Dito isso, se você incluir o arquivo, não use / dev / sdXy.

Para / etc / initramfs-tools / hooks / cryptoroot Acabei de adicionar estas linhas: 

# Comment out this line
# cp /etc/console-setup/boottime.kmap.gz ${DESTDIR}/etc/console
# If you add a key-file
# cp /my_keyfile.bin ${DESTDIR}/
copy_exec /bin/loadkeys /bin
copy_exec /bin/chvt /bin
copy_exec /sbin/cryptsetup /sbin
copy_exec /sbin/blkid /sbin
copy_exec /sbin/lsmod /sbin
copy_exec /sbin/cat /sbin
copy_exec /sbin/dmsetup /sbin

O que dá: 

PREREQ=""

prereqs()
{
        echo "$PREREQ"
}

case $1 in
prereqs)
        prereqs
        exit 0
        ;;
esac

if [ ! -x /sbin/cryptsetup ]; then
        exit 0
fi

. /usr/share/initramfs-tools/hook-functions

# Comment out this line
# cp /etc/console-setup/boottime.kmap.gz ${DESTDIR}/etc/console
    # If you add a key-file
    # cp /my_keyfile.bin ${DESTDIR}/
    copy_exec /bin/loadkeys /bin
    copy_exec /bin/chvt /bin
    copy_exec /sbin/cryptsetup /sbin
    copy_exec /sbin/blkid /sbin
    copy_exec /sbin/lsmod /sbin
    copy_exec /sbin/cat /sbin
    copy_exec /sbin/dmsetup /sbin

Além disso, todos esses arquivos devem estar marcados como executáveis. 

chmod +x /etc/initramfs-tools/hooks/cryptoroot
chmod +x /etc/initramfs-tools/scripts/local-top/cryptoroot

Adicione-os a / etc / initramfs-tools / modules: 

dm_mod
dm_crypt
sha256_generic
sha256_ssse3
aes_generic
cbc
aes_x86_64
xts

Foi relativamente fácil!

Execute update-initramfs -u -k all

Em seguida, precisamos criar uma entrada do GRUB personalizada no meu caso, porque o os-prober não detectará um sistema de arquivos no BTRFS. A entrada do arco vai ajudar lá.

Isto é o que a minha parece: 

menuentry "System shutdown" {
        echo "System shutting down..."
        halt
}

menuentry "System restart" {
        echo "System rebooting..."
        reboot
}    

menuentry 'Ubuntu Linux try 1' --class arch --class gnu-linux --class gnu --class os {
    load_video
     set gfxpayload=keep
     insmod gzio
     insmod part_msdos
     insmod cryptodisk
     insmod luks
     insmod gcry_rijndael
     insmod gcry_sha256
     insmod btrfs
     insmod ext2
     cryptomount -u [UUID of sdXY]
     set root='cryptouuid/[UUID of sdXY]'
     if [ x$feature_platform_search_hint = xy ]; then
      search --no-floppy --fs-uuid --set=root --hint='cryptouuid/[UUID of sdXY]'  [UUID of /dev/mapper/cryptoroot]
     else
      search --no-floppy --fs-uuid --set=root [UUID of /dev/mapper/cryptoroot]
     fi
     echo    'Loading Linux linux-lts ...'
     #I use btrfs so...
     linux    btrfs path    root=UUID=[UUID of /dev/mapper/cryptoroot] rw rootflags=subvol=/btrfs/path/to/root cryptdevice=/dev/disk/by-uuid/[UUID of sdXY]':cryptroot quiet modprobe.blacklist=pcspkr profile
     echo    'Loading initial ramdisk ...'
     initrd  path/initrd.img
    }

    ##I was able to boot without this kernel option but some guides suggested it: ##cryptopts=target=cryptrootname,source=/dev/sdXY

É oficial: o Ubuntu pode inicializar no sistema de arquivos criptografados do Arch! Eu pesquisei muito e não tenho certeza se mais alguém quebrou este, pelo menos não em alguns anos.

    
por ohmysql 09.09.2016 / 23:51
Confusão de escolha do servidor Como desabilitar o espaço de trabalho virtual no meu laptop (sem monitor externo)