Como fazer com que os volumes criptografados não falhem na inicialização quando a frase secreta não é fornecida

Ao configurar algumas partições criptografadas em minha máquina debian squeeze, tudo foi muito fácil. Eu segui algum howto e usei o cryptsetup para criar as partições criptografadas que agora contêm / home e / srv. O próprio sistema (ponto de montagem raiz e inicialização) não foram criptografados.

Comportamento na inicialização:

• O sistema pede as senhas das partições criptografadas.
• Se inserido corretamente, o sistema foi inicializado e as partições foram montadas conforme declarado no fstab.
• Se omitido ou digitado como falso por três vezes, o sistema será inicializado de qualquer maneira no modo multiusuário e as partições poderão ser manualmente desbloqueadas e montadas posteriormente.

Depois de fazer algumas atualizações e upgrades - agora é uma Jessie - o comportamento mudou. Se as senhas forem omitidas ou não forem dadas corretamente, o sistema inicializará no "modo de emergência" solicitando a senha do root.

Eu tentei alguns google sobre isso, mas qualquer coisa que eu encontrei, não mudou isso. Você precisa inserir as senhas corretamente ou a inicialização falhará. Como a máquina geralmente opera em um local remoto sem ter ninguém por perto sabendo o suficiente de um ambiente não-Windows, isso não é desejado.

:# uname -a

Linux cypher 3.16.0-4-686-pae #1 SMP Debian 3.16.7-ckt11-1+deb8u3 (2015-08-04) i686 GNU/Linux

:# cat /etc/fstab

UUID=3c3fb5a8-ec8c-49d4-a36c-d3a39d321f49 /  ext3          user_xattr,errors=remount-ro 0  1
/dev/mapper/sda3_crypt  /home                ext4          usrquota,grpquota,user_xattr 0  2
/dev/mapper/sda4_crypt  /srv                 ext4          usrquota,grpquota,user_xattr 0  2
/dev/sda2               none                 swap          sw                           0  0
/dev/sr0                /media/cdrom0        udf,iso9660   user,noauto                  0  0

:# cat /etc/crypttab

sda3_crypt UUID=a89934ba-d90c-415d-b021-05be84995e8b none nofail
sda4_crypt UUID=4134177b-5622-4cef-9844-c83efad8d029 none nofail

Ao experimentar diferentes opções no crypttab, sempre fiz um

update-initramfs -u -k all

antes de tentar a próxima inicialização. Eu nem sei se isso é necessário.

Eu não sei o que tenho que fazer para realizar o comportamento "antigo" e ficaria feliz se alguém pudesse me dizer o que estou procurando.

Para endereçar o comentário do StackAbstraction: A partição swap não criptografada é o resultado de um erro recente. No começo, foi criptografado. Por alguma razão desconhecida, de repente, se recusou a ser desbloqueado, o que levou a uma falha na inicialização. Depois de reformatar e configurar a criptografia, tudo deveria ter sido bom - mas não foi. Em qualquer inicialização recebi uma mensagem sobre um "LVM ausente" e tive que inicializar a partir do resgate para entrar no sistema novamente.

Eu não era capaz de resolver isso e como a razão para a criptografia é mais projetado para proteger os dados armazenados se o dispositivo físico é roubado de sala do servidor não parecem ser tão alto risco. Este também é o motivo para não proteger a partição raiz. Os dados a proteger são armazenados exclusivamente nas partições criptografadas.

O comentário, no entanto, não apontou para a questão dada. Atualmente estou ciente dos riscos potenciais da troca não criptografada e da partição raiz. Não vejo como a mudança para um grupo de volumes resolveria o problema de falha de inicialização se as senhas não fossem fornecidas, exceto talvez que as senhas para grupos de volumes não sejam solicitadas na inicialização (o que não seria o comportamento desejado). saber se isso seria verdade.