Eu tenho uma caixa Ubuntu-18.04 executando o sistema operacional fora de um SSD que eu não quero criptografar. Eu tenho 3 unidades adicionais de 2 TB que gostaria de usar como armazenamento adicional criptografado (via LUKS) RAID-Z1. Eu gostaria de usar uma frase -fase diferente para cada disco, ser avisado para cada frase-senha como tempo de inicialização e criar e montar automaticamente o conjunto raidz na inicialização também.
Eu tenho seguido o seguinte tutorial.
O tutorial acima descreve a criptografia do disco de inicialização, bem como da unidade de armazenamento adicional. Como eu não estou tentando criptografar o disco de inicialização, tentei analisar todas as coisas relevantes para isso e apenas executar as operações necessárias para criar o armazenamento adicional nas 3 unidades de 2 TB nas quais estou interessado.
Eu tive algum sucesso em concluir as etapas a seguir parece criptografar cada unidade, com sua própria senha, e eu posso transformá-los em um pool de raidz. Existem dois pontos de falha que não consegui resolver:
Após a inicialização da máquina, poderei descriptografar manualmente e importar o pool criado anteriormente sem problemas. Aqui estão as minhas configurações de configuração até agora.
$ sudo parted -a optimal /dev/sdb; sudo parted -a optimal /dev/sdc; sudo parted -a optimal /dev/sdd
# the above parted command opens a prompt to enter commands. The following were the commands given
# mklabel gpt
# unit MB
# mkpart vpool 1 -1
$ sudo apt install cryptsetup
$ sudo cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/sdb1
$ sudo cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/sdc1
$ sudo cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/sdd1
$ sudo cryptsetup luksHeaderBackup /dev/sdb1 --header-backup-file /home/user_home/luks_header_backup_sdb1; sudo cryptsetup luksHeaderBackup /dev/sdc1 --header-backup-file /home/user_home/luks_header_backup_sdc1; sudo cryptsetup luksHeaderBackup /dev/sdd1 --header-backup-file /home/user_home/luks_header_backup_sdd1
$ sudo cryptsetup luksOpen /dev/sdb1 vault1_crypt
$ sudo cryptsetup luksOpen /dev/sdc1 vault2_crypt
$ sudo cryptsetup luksOpen /dev/sdd1 vault3_crypt
$ sudo fdisk -l
# The above command was to check the sector size. because there is an old drive in there we have to use 512 sector size. This means using ashift=9 instead of ashift=12 when doing zpool create
$ sudo zpool create -O mountpoint=none -o ashift=9 vault raidz1 /dev/mapper/vault1_crypt /dev/mapper/vault2_crypt /dev/mapper/vault3_crypt
$ sudo zfs set mountpoint=/vault vault
$ blkid # Copied value of each sdb1 sdc1 and sdd1 UUIDs
$ sudo vim /etc/initramfs-tools/conf.d/cryptroot
# Wrote as follows
# target=vault,source=UUID=<UUID-from-blkid-for-sdb1>,key=none
# target=vault,source=UUID=<UUID-from-blkid-for-sdc1>,key=none
# target=vault,source=UUID=<UUID-from-blkid-for-sdd1>,key=none
$ sudo update-initramfs -c -k all
$ sudo update-grub; sudo grub-install /dev/sda