私のセットアップは次の通りです: LUKS で暗号化された SSD で、LVM を使用して一般的な Linux パーティション (/、/home/ など) を形成します。このセットアップは、起動時にパスワードによってロック解除されます。私は Debian Jessie を使用しています。
スペースが不足しているため、LVM に別の PV を追加したいと考えていましたが、もちろん、最初の PV からのキー派生を使用するか、最初の PV と同じパスワードを使用して、起動時に LUKS で暗号化および復号化する必要があります。
これは、LVM (/、/home/ などを含む) が 2 つの LUKS 暗号化 SSD にまたがっていることを意味します (もちろん、各 SSD には実際に暗号化されているパーティションが 1 つ含まれており、SSD 自体は暗号化されていませんが、これは明らかだと思います)。
Systemd が統合されているため、起動時にこの種のセットアップのロックを解除することは不可能と思われます。見つかったすべての命令はキーを導出します (またはそれ以外の場合)。キー導出スクリプトは起動時に実行されなくなるため (または命令が失敗するため)、Systemd ではこれ以上実行できません。
これが実際に機能するかどうか、またどのように機能するかを知っている人はいますか?
それ以外の場合は、ブート後に残りをマウントできるように別のルート パーティション (LVM の外部) を持つように設定を変更するか、LVM 内に luks を配置する必要があります。ただし、どちらも私が選択したい最後のオプションです。
THX!
答え1
方法1 Systemdが*buntuデスクトップに実装されて以来、すべての追加のLUKSパーティションのロックが解除されることがわかった。もし
- ロックを解除したいパーティションはすべて同じパスワードを使用します
- ルートパーティションのパスワードは最初に正しく入力します。間違った場合は、他のLUKSパーティションごとに再度入力する必要があります。
これはUbuntu Server 16.04では機能しません
方法2 gnome-disk-utility (GUI) アプリを使用する...
- 暗号化されたLUKSパーティションを選択する
- 歯車ボタンをクリック(追加のパーティションオプション)
- 暗号化オプションを編集する
- 自動暗号化オプションを無効にする
- 起動時にロック解除を有効にする
- (オプション) 名前を変更します。これにより、/dev/mapper/ の下にあるロック解除されたパーティションにラベルが付けられます。
- パスフレーズを入力します。ユーティリティは、このように設定した各パーティションの/etc/luks-keys/にキーファイルを作成します。
- (オプション) ロック解除されたパーティションを手動で、またはディスクユーティリティを使用して fstab に追加します。
- update-initramfs (これが必須かどうかは不明)
- アップデート-grub
方法3keyutils を使用します。
まだテストしていません。https://www.redpill-linpro.com/techblog/2016/08/12/btrfs-and-encryption.html
- 暗号化されたボリュームの両方に同じパスフレーズを使用します。
- 新しくインストールしたシステムを起動します。
~# apt-get install keyutils/etc/crypttab にリストされている暗号化されたボリュームの両方に keyscript=decrypt_keyctl オプションを追加します。- 次に、次のコマンドを発行して、
~# update-initramfs -u -k allinitramfs を更新し、keyutils を含めます。 - 次に、再起動して、入力したパスフレーズがキャッシュされ、暗号化されたボリュームの両方のロックを解除するために使用されることを確認します。