Ist es möglich, mehrere LUKS-Geräte zu entsperren, um beim Booten ein LVM zu bilden?

tag-icon tag-icon linux debian lvm luks
Ist es möglich, mehrere LUKS-Geräte zu entsperren, um beim Booten ein LVM zu bilden?

Ich habe das folgende Setup: Eine LUKS-verschlüsselte SSD, auf der ein LVM verwendet wird, um die typischen Linux-Partitionen (/, /home/ usw.) zu bilden. Dieses Setup wird beim Booten durch ein Passwort entsperrt. Ich verwende Debian Jessie.

Aus Platzgründen wollte ich dem LVM ein weiteres PV hinzufügen, welches natürlich LUKS-verschlüsselt und beim Booten entschlüsselt werden sollte – unter Verwendung einer Schlüsselableitung vom ersten PV oder durch Verwendung des gleichen Passworts wie das erste PV.

Dies bedeutet, dass sich das LVM (das /, /home/ usw. umfasst) über zwei mit LUKS verschlüsselte SSDs erstreckt (natürlich enthält jede SSD eine Partition, die tatsächlich verschlüsselt ist und nicht die SSDs selbst, aber ich denke, das ist offensichtlich.).

Seit der Integration von Systemd scheint es unmöglich, diese Art von Setup beim Booten zu entsperren – alle gefundenen Anweisungen leiten Schlüssel ab (oder sonst etwas), was mit Systemd nicht mehr möglich ist, da die Skripte zur Schlüsselableitung beim Booten nicht mehr ausgeführt werden (oder die Anweisungen einfach fehlschlagen).

Weiß jemand ob und wie das tatsächlich funktioniert?

Andernfalls muss ich mein Setup ändern, um eine separate Root-Partition (außerhalb des LVM) zu haben, damit der Rest nach dem Booten gemountet werden kann, oder um Luks innerhalb des LVM zu haben. Aber beides sind die letzten Optionen, die ich wählen möchte.

Danke!

Antwort1

Methode 1 Ich habe festgestellt, dass Systemd, seit es in *buntu desktop implementiert wurde, alle zusätzlichen LUKS-Partitionen entsperrtWenn

  1. Alle Partitionen, die Sie entsperren möchten, verwenden dasselbe Passwort
  2. Sie geben das Passwort für die Root-Partition beim ersten Mal richtig ein. Wenn Sie es falsch eingeben, müssen Sie es für jede weitere LUKS-Partition erneut eingeben.

Dies funktioniert bei mir unter Ubuntu Server 16.04 nicht

Methode 2 Verwenden der Gnome-Disk-Utility-App (GUI) …

  1. Wählen Sie die verschlüsselte LUKS-Partition
    1. Klicken Sie auf das Zahnradsymbol (zusätzliche Partitionsoptionen).
    2. Verschlüsselungsoptionen bearbeiten
    3. Deaktivieren Sie die Optionen zur automatischen Verschlüsselung
    4. Aktivieren Sie „Entsperren beim Start“.
    5. (optional) Namen ändern. Dadurch wird die entsperrte Partition unter /dev/mapper/ benannt.
    6. Geben Sie die Passphrase ein. Das Dienstprogramm erstellt für jede Partition, die Sie auf diese Weise einrichten, eine Schlüsseldatei in /etc/luks-keys/
    7. (optional) Fügen Sie entsperrte Partitionen manuell oder mithilfe des Festplattendienstprogramms zur fstab hinzu
    8. update-initramfs (nicht sicher, ob dies erforderlich ist)
    9. Update-Grub

Methode 3Verwenden von Keyutils.

Ich habe das nicht getestet. Vonhttps://www.redpill-linpro.com/techblog/2016/08/12/btrfs-and-encryption.html

  1. Verwenden Sie für beide verschlüsselten Volumes dieselbe Passphrase.
  2. Starten Sie Ihr neu installiertes System:
  3. ~# apt-get install keyutils und fügen Sie die Option keyscript=decrypt_keyctl zu beiden verschlüsselten Volumes hinzu, die in /etc/crypttab aufgelistet sind.
  4. Geben Sie dann Folgendes ein: ~# update-initramfs -u -k all um Ihr Initramfs zu aktualisieren, damit Keyutils eingeschlossen werden.
  5. Führen Sie dann einen Neustart durch und überprüfen Sie, ob die eingegebene Passphrase zwischengespeichert und zum Entsperren beider verschlüsselten Volumes verwendet wird.

verwandte Informationen