Eu tenho uma VM do CentOS 6 na qual usei o seguinte script de shell para instalar e configurar o MongoDB para usar um disco criptografado LUKS (dm-crypt) secundário para seus arquivos de banco de dados:
#!/bin/bash -e
# Set up the official mongodb repository
#
sudo cat >/etc/yum.repos.d/mongodb.repo <<EOL
[mongodb]
name=MongoDB Repository
baseurl=http://downloads-distro.mongodb.org/repo/redhat/os/x86_64/
gpgcheck=0
enabled=1
EOL
# create a keyfile that will be used for the device encryption
# key should be read-only by root only
sudo dd if=/dev/urandom of=/root/mongo-efs-key bs=1024 count=4
sudo chown root:root /root/mongo-efs-key
sudo chmod 400 /root/mongo-efs-key
# create partition on /dev/xvdc
sudo parted /dev/xvdc mklabel msdos
sudo parted /dev/xvdc mkpart primary 0% 100%
# create encrypted container in new device
sudo cryptsetup luksFormat -d /root/mongo-efs-key --batch-mode /dev/xvdc1
sudo cryptsetup luksOpen -d /root/mongo-efs-key /dev/xvdc1 mongoefs
# format and mount our encrypted volume
sudo mkfs.ext4 /dev/mapper/mongoefs
sudo mkdir -p /var/lib/mongo
sudo mount /dev/mapper/mongoefs /var/lib/mongo
# update the crypttab and fstab files with new partitions
echo "mongoefs /dev/sdb1 /root/mongo-efs-key luks" | sudo tee --append /etc/crypttab > /dev/null
sudo cp -p /boot/initramfs-$(uname -r).img /boot/initramfs-$(uname -r).img.bak
sudo dracut -f
echo "/dev/mapper/mongoefs /var/lib/mongo ext4 defaults 0 2" | sudo tee -- append /etc/fstab > /dev/null
# Install mongoDB
sudo yum -y install mongodb-org
# set permissions for mongo on our encrypted and mapped device
sudo chown mongod:mongod /var/lib/mongo
O script faz o que é suposto, mas me deparo com um problema em que não consigo reinicializar o servidor sem um prompt de comando me pedindo a senha para / dev / xvdc1. Não tenho certeza do que fazer aqui, pois não especifiquei uma senha para isso. Eu estava com a impressão de que seria auto-desbloquear e montar de acordo com este guia: link mas não é esse o caso.
Como faço para alterar a configuração para que eu possa reinicializar o servidor (com a unidade criptografada montada) sem precisar de uma frase secreta?
Tags security encryption luks centos