No Ubuntu 11.10, é possível descriptografar 2 discos rígidos criptografados com LUKS / LVM inserindo apenas uma senha no boot?

8

aqui a configuração que tenho: - 2 discos rígidos - primeiro é criptografado usando LUKS e LVM. Eu gostaria de adicionar no grupo de volume criptografado um segundo disco rígido. Eu o instalei com sucesso e o criptografei. Mas quando eu inicializo, eu tenho que inserir duas senhas para descriptografar os dois discos rígidos.

Não existe uma maneira de usar apenas um?

    
por AlBundy 05.12.2011 / 15:33

4 respostas

4

Eu finalmente encontrei um truque para digitar apenas uma senha e ter todos os meus discos físicos criptografados.

Eu criptografo o primeiro com uma senha, eu criptografo o segundo usando um arquivo-chave que eu armazeno no primeiro disco rígido (/ root / mykeyfile).

E com a linha correta no arquivo / etc / crypttab, isso funciona.

Atualizar o / etc / crypttab

sda5_crypt UUID = fb07f1e8-a569-4db9-9fd7-fc1994e093b5 nenhum luks

sdb1_crypt UUID = 4c0687f0-d7af-4f2e-9c57-5ca8e909d492 / root / mykeyfile luks

    
por 06.12.2011 / 09:38
0

No Ubuntu, é possível usar uma chave derivada da raiz como uma chave adicional em outros sistemas de arquivos. Isso tem a vantagem de manter sua chave para as outras unidades fora do próprio sistema de arquivos.

Antes de fazer isso, primeiro, certifique-se de que / tmp está montado apenas na memória ram! Sugiro o modo de usuário único para essa alteração.

mount -t ramfs none /tmp

Em seguida, você pode exportar a chave derivada:

# replace vda5_crypt with the cryptsetup name of your root luks
# have a look in /dev/mapper or 'pvdisplay' to find it...
/lib/cryptsetup/scripts/decrypt_derived vda5_crypt > /tmp/key

Em seguida, adicione-o ao seu (s) outro (s) dispositivo (s):

# use your own disks here instead of sdb1 sdc1 sdd1 etc
cryptsetup luksAddKey /dev/sdb1 /tmp/key
cryptsetup luksAddKey /dev/sdc1 /tmp/key
cryptsetup luksAddKey /dev/sdd1 /tmp/key
rm /tmp/key

Isso permitirá que os scripts init do Ubuntu usem a chave derivada quando a raiz estiver desbloqueada para desbloquear o restante dos dispositivos de bloco e disponibilizá-los de maneira semelhante em / dev / mapper. Não tenho certeza se eles exigem entradas do / etc / crypttab - experimente-os sem primeiro, e se eles não aparecerem, coloque-os no crypttab sem uma chave e ele deverá desbloqueá-los.

(Eu não testei nada disso.)

    
por 30.01.2014 / 05:57
-1

Não, não há como fazer isso imediatamente.

    
por 05.12.2011 / 22:40
-1

Você pode, teoricamente, definir uma variável ambiental temporária em um script de inicialização personalizado, que é então referenciado pelos scripts de inicialização do processo de descriptografia. Eu realmente fiz isso há alguns anos atrás.

Sua outra opção é eliminar os scripts de inicialização existentes para o seu disco rígido e escrever um personalizado que insira sua senha uma vez e, em seguida, prossiga com os dois processos de descriptografia.

Como alternativa, você pode estender seu volume LVM para a segunda unidade. Se bem me lembro, a criptografia deve continuar.

    
por 05.12.2011 / 22:51

Tags