Monte o disco rígido criptografado LUKS na inicialização

Question

Monte o disco rígido criptografado LUKS na inicialização

#1 resposta do Dominik Grether (8 votos)
#2 resposta do solt87 (5 votos)
#3 resposta do Aryeh Leib Taurog (0 votos)

21

Eu tenho o Xubuntu 14.04 em um dispositivo SSD (o HOME foi criptografado corretamente durante a instalação), além disso tenho um HDD com uma partição criptografada com dados extras que gostaria de montar / mnt / hdd . Para fazer isso eu segui os próximos passos:

(Anteriormente, eu havia criptografado o disco com o LUKS seguindo este post link )

Verifique o UUID

sudo blkid 
/dev/sda1: UUID="b3024cc1-93d1-439f-80ce-1b1ceeafda1e" TYPE="crypto_LUKS"

Crie um arquivo-chave com a senha correta e salve-o em minha HOME (que também é criptografada).

sudo dd if=/dev/urandom of=/home/[USERNAME]/.keyfiles/key_luks bs=1024 count=4
sudo chmod 0400 .keyfiles/key_luks

Adicione a chave

sudo cryptsetup luksAddKey /dev/sda1 /home/zeugor/.keyfiles/key_luks

Nova entrada em / etc / crypttab

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e /home/[USERNAME]/.keyfiles/key_luks luks

Atualize o ramdisk inicial

sudo update-initramfs -u -k all

Então, para testá-lo, usei o comando follow para iniciar o cryptdisks:

sudo cryptdisks_start hddencrypted 
 * Starting crypto disk...                                                       
 * hddencrypted (starting)..
 * hddencrypted (started)...

Para verificar hddencrypted foi mapeado:

ls /dev/mapper/
control  hddencrypted

Crie um ponto de montagem

mkdir /mnt/hdd

Nova entrada em / etc / fstab

/dev/mapper/hddencrypted /mnt/hdd ext4 defaults 0 2

Valide o fstab sem reinicializar:

sudo mount -a

Monte a partição criptografada na inicialização

Agora eu montei em / mnt / hdd como eu propus. Mas eu gostaria de fazer isso automaticamente após a reinicialização. Mas antes que eu possa fazer login, recebo este erro:

the disk drive for /mnt/hdd is not ready yet or not permit

Tudo isso me faz pensar que / etc / crypttab não pode acessar o arquivo de chaves que está localizado em minha HOME (outra partição criptografada). Não conheço a ordem que o sistema segue para não criptografada e monta as unidades. Meu HOME deve ser descriptografado antes do meu HDD para dar acesso à leitura do arquivo de chaves.

Eu gostaria de saber por que isso acontece.

ATUALIZAÇÃO: Se eu localizar o arquivo de chaves em / boot (não criptografado), em vez de em meu / home / [USERNAME] (criptografado) o / dev / sda1 e atualizar a entrada em / etc / crypttab é perfeitamente montado no tempo de inicialização.

mount partitioning encryption luks fstab

por zeugor 19.04.2014 / 22:26

3 respostas

Tags mount partitioning encryption luks fstab

Como iniciar um aplicativo em um desktop específico a partir da linha de comando? Por que usar env em shebang?

score 8 · Answer 1

Um arquivo de chave no diretório / boot pode ser lido por qualquer outro sistema operacional inicializado em sua máquina que seja capaz de montar o sistema de arquivos em que / boot esteja localizado. Assim, a criptografia não é realmente eficaz. Esse argumento se aplica a todos os locais de arquivos principais em sistemas de arquivos não criptografados.

Para evitar arquivos importantes em sistemas de arquivos não criptografados, é possível usar uma senha para descriptografar. Crie uma senha strong para o dispositivo. Então, mude a linha em / etc / crypttab para

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e none luks

e mantenha a entrada em / etc / fstab inalterada. O Ubuntu 14.04 / 16.04 / 18.04 pede a senha na inicialização.

score 5 · Answer 2

Funciona se você substituir "defaults" no fstab por

rw,suid,dev,exec,auto,user,async,relatime

(De acordo com a página man mount , é o mesmo que "defaults", exceto para "user". )

score 0 · Answer 3

Verifique se a partição hddencrypted está listada após a partição inicial, em /etc/fstab e /etc/crypttab . Como o crypttab (5) manpage afirma:

The order of records in crypttab is important because the init scripts sequentially iterate through crypttab doing their thing.

Você também pode adicionar a opção noearly à última partição em /etc/crypttab :

hddencrypted UUID=<...> /home/[USERNAME]/.keyfiles/key_luks luks,noearly

Em uma situação normal, você poderia indicar que a partição inicial deve ser montada primeiro, adicionando-a a CRYPTDISKS_MOUNT in /etc/default/cryptdisks , mas como ela própria é criptografada, tenho a sensação de que não seria uma boa ideia.