Você precisará inserir a chave de criptografia no console local durante a inicialização se criptografar a unidade do sistema operacional usando a criptografia completa de disco do Ubuntu.
Parece haver maneiras de salvar uma chave de criptografia para uma partição criptografada para que somente o root tenha acesso, se isso for adequado. Se alguém tiver acesso root, você terá um problema maior. A partição em que a chave é salva deve ser criptografada e talvez seja necessário descriptografá-la manualmente.
Você também pode simplesmente montar manualmente a partição criptografada e renunciar ao salvamento de um arquivo de chave.
Copiei os passos abaixo deste link:
link
Crédito ao autor original Stephan Jau
Etapa 1: crie um arquivo de chave aleatório
sudo dd if=/dev/urandom of=/root/keyfile bs=1024 count=4
Isto irá criar um arquivo com conteúdo aleatório com o tamanho de 4096 bits (melhor que uma senha de 20/30 caracteres ....). Você pode usar qualquer arquivo para agir como arquivo-chave, mas acho que um arquivo de 4kb com conteúdo aleatório é adequado.
Etapa 2: Tornar o arquivo de chave somente leitura para raiz
sudo chmod 0400 /root/keyfile
Isso tornará o arquivo de chaves legível somente pelo root. Se alguém tiver acesso a este arquivo-chave, você terá um problema maior no seu computador.
Como alternativa, chown seu arquivo de chaves desejado para root: root e mova-o para a pasta / root
Passo 3: Adicione o arquivo de chaves ao LUKS
Os dispositivos habilitados para LUKS / dm_crypt podem conter até 10 arquivos-chave / senhas diferentes. Então, ao lado de ter a senha já configurada, vamos adicionar este keyfile como método de autorização adicional.
sudo cryptsetup luksAddKey /dev/sdX /root/keyfile
sdX é, claro, o seu dispositivo LUKS.
Primeiro, você será solicitado a inserir uma senha (existente) para desbloquear a unidade. Se tudo funcionar bem, você deve obter uma saída como esta:
Enter any LUKS passphrase:
key slot 0 unlocked.
Command successful.
Etapa 4: criar um mapeador
Os dispositivos LUKS precisam criar um mapeador que possa ser referenciado no fstab. Abra o / etc / crypttab
sudo nano /etc/crypttab
e adicione uma linha como esta:
sdX_crypt /dev/sdX /root/keyfile luks
ou você pode usar o UUID do dispositivo:
sdX_crypt /dev/disk/by-uuid/247ad289-dbe5-4419-9965-e3cd30f0b080 /root/keyfile luks
sdX_crypt é o nome do mapeador que está sendo criado. Você pode usar aqui qualquer nome, por exemplo "música" ou "filmes" ou "sfdsfawe" ....
Salve e feche o arquivo emitindo ctrl-x, digite, insira. Ctrl-x fecha nano mas primeiro pede para salvar o arquivo [yes = enter] e qual o nome deve ser [same name = enter].
O que fizemos lá, na verdade, é dizer que / root / keyfile deve ser usado em vez da entrada de senha para desbloquear a unidade.
Etapa 5: monte o dispositivo em fstab
Agora, temos um dispositivo desbloqueado (bem, ainda não, mas quando o sistema está sendo inicializado) e só precisamos montá-lo agora. Abra o / etc / fstab:
sudo nano /etc/fstab
e adicione uma nova entrada como:
/dev/mapper/sdX_crypt /media/sdX ext3 defaults 0 2
Certifique-se de ter o nome do mapeador correto que você adicionou na etapa 4. Verifique também se o ponto / pasta de montagem existe. Após adicioná-lo, salve novamente o arquivo e feche-o (ctrl-x, enter, enter).
Etapa 6: reinicialize ou remonte
É isso. Agora você pode reinicializar e os dispositivos adicionais devem ser desbloqueados e montados automaticamente. Você também pode testá-lo remontando todos os dispositivos:
sudo mount -a