É possível desbloquear vários dispositivos LUKS para formar um LVM na inicialização?

Navegue suas respostas
2

Eu tenho a seguinte configuração: Um SSD criptografado LUKS no qual um LVM é usado para formar as típicas partições linux (/, / home /, etc.). Esta configuração é desbloqueada na inicialização por uma senha. Estou usando o Debian Jessie.

Devido à falta de espaço, eu queria adicionar outro PV ao LVM, que, claro, deve ser LUKS criptografado e descriptografado na inicialização - com o uso da derivação de chave do primeiro PV ou usando a mesma senha que o primeiro PV.

Isso significa que o LVM (que inclui /, / home / etc.) se estende por dois SSDs criptografados LUKS (claro que cada SSD contém uma partição que é realmente criptografada e não os próprios SSDs, mas acho que isso é óbvio .).

Parece impossível desbloquear este tipo de configuração na inicialização desde que o Systemd foi integrado - todas as instruções encontradas derivam chaves (ou mais) que não é mais possível fazer com o Systemd porque os scripts de derivação de chaves não são mais executados na inicialização ( ou as instruções apenas falham).

Alguém sabe se e como isso realmente funciona?

Caso contrário, eu tenho que mudar minha configuração para ter uma partição raiz separada (fora do LVM) para que o resto possa ser montado após o boot, ou ter luks dentro do lvm. Mas ambas são as últimas opções que eu quero escolher.

Thx!

    
por baderas 30.05.2017 / 12:34

1 resposta

0

Método 1 Eu encontrei, desde que o Systemd foi implementado no desktop * buntu, que ele irá desbloquear todas as partições adicionais do LUKS se

  1. todas as partições que você deseja desbloquear usam a mesma senha
  2. você digita a senha da partição raiz corretamente na primeira vez. Se você errar, precisará inseri-lo novamente para todas as outras partições LUKS

Isso não funciona para mim no Ubuntu Server 16.04

Método 2 Usando o aplicativo gnome-disk-utility (GUI) ...

  1. selecione a partição LUKS criptografada
    1. clique no botão de engrenagem (opções adicionais de partição)
    2. Editar opções de criptografia
    3. desative as opções de criptografia automática
    4. ativar o desbloqueio na inicialização
    5. (opcional) altere o nome. Isso rotulará a partição desbloqueada em / dev / mapper /
    6. insira a frase secreta. O utilitário criará um arquivo de chaves em / etc / luks-keys / para cada partição que você configurar dessa maneira
    7. (opcional) adicione partições desbloqueadas ao fstab manualmente ou usando o utilitário de disco
    8. update-initramfs (não tenho certeza se isso é necessário)
    9. update-grub

Método 3 Usando keyutils.

Eu não testei isso. De link

  1. use a mesma frase secreta para ambos os volumes criptografados.
  2. Inicialize em seu sistema recém-instalado:
  3. %código% e inclua a opção keyscript = decrypt_keyctl em ambos os volumes criptografados listados em / etc / crypttab.
  4. Em seguida, emita: %código% para atualizar seu initramfs para incluir keyutils.
  5. Em seguida, reinicialize e verifique se a frase secreta inserida é armazenada em cache e usada para desbloquear os volumes criptografados.
por 04.09.2017 / 02:56

Tags

Configurando o ClusterSSH para usar fontes Freetype Mesclando dois arquivos depois de verificar se algumas das colunas correspondem