Ich versuche, die Festplatte beim Systemstart automatisch zu mounten. Ich verwende Crypttab und das Passwort ist im Klartext in der Datei.
Meine Konfiguration:
sda3_crypt UUID=my_id none luks,discard
wd_01 UUID=my_id /luks-keys/wd1 luks,timeout=180
wd-crypt UUID=my_id /luks-keys/wd1
sda3_crypt --> Hauptsystem
wd_01 --> Festplatte, die ich mounten möchte
wd-crypt --> Luks-Partition, die ich mounten möchte
Geben Sie nach dem Systemstart das Hauptkennwort für den Systemstart ein, verschlüsseln Sie wd_01 jedoch nicht.
Wenn ich den Mountpoint zu fstab hinzufüge, ändert er sich. Beim Booten gebe ich mein Hauptpasswort ein, das System startet den Bootvorgang und frage danach nach einem zweiten Passwort für wd_01 und ignoriere die Tatsache, dass ich das Passwort für /root/luks-keys/wd1 in Crypttab eingegeben habe :/
lsblk:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 111.8G 0 disk
├─sda1 8:1 0 512M 0 part /boot/efi
├─sda2 8:2 0 954M 0 part /boot
└─sda3 8:3 0 110.4G 0 part
└─sda3_crypt 253:0 0 110.4G 0 crypt
├─main-swap 253:1 0 7.5G 0 lvm [SWAP]
└─main-system 253:2 0 102.9G 0 lvm /
sdb 8:16 0 1.8T 0 disk
└─sdb-crypt 253:4 0 1.8T 0 crypt /srv/dev-disk-by-label-wd01
sdc 8:32 0 1.8T 0 disk
└─seagate_01 253:3 0 1.8T 0 crypt /srv/dev-disk-by-label-seagate01
wd_01 ist mein sdb und wd-crypt ist mein sdb-crypt
Antwort1
Zunächst ein Sicherheitshinweis: Sie müssen die Datei mit dem LUKS-Passwort oder -Schlüssel schützen. Das bedeutet wahrscheinlich, dass Sie für die Root-Partition Ihres Betriebssystems eine verschlüsselte Partition verwenden müssen. Wenn Sie diese Datei nicht schützen, hilft Ihnen die Verschlüsselung nicht viel.
Ersetzen Sie unten /dev/device-and-partdurch Ihre Partition (IE sda3).
Erwägen Sie, Ihre Daten oder die in den Anweisungen geänderten Dateien zu sichern. Wenn Sie einen Fehler machen, können Daten verloren gehen oder Ihr System funktionsunfähig werden.
Einen neuen LUKS-Schlüssel erstellen
Erstellen Sie einen Schlüssel aus zufälligen Daten und stellen Sie sicher, dass nur der Root-Benutzer Zugriff hat:
sudo mkdir /etc/luks-keys/
sudo dd if=/dev/urandom of=/etc/luks-keys/name-of-key bs=512 count=8 iflag=fullblock
sudo chown root.root /etc/luks-keys/name-of-key
sudo chmod 400 /etc/luks-keys/name-of-key
Ordnen Sie nun den Schlüssel der Partition zu. Geben Sie dazu an der Eingabeaufforderung das vorhandene Kennwort ein:
sudo cryptsetup -v luksAddKey /dev/device-and-part /etc/luks-keys/name-of-key
Überprüfen Sie, ob das funktioniert hat, und testen Sie die Schlüsseldatei:
sudo cryptsetup open -v --test-passphrase /dev/device-and-part --key-file /etc/luks-keys/name-of-key
Sie können die verschlüsselte Partition jetzt entweder mit dem Kennwort oder der Schlüsseldatei entsperren.
Entsperren und montieren
Ermitteln Sie die UUID Ihrer Partition. Diese eindeutige ID wird verwendet, um die Partition beim Booten zu identifizieren.
sudo cryptsetup luksDump /dev/device-and-part | grep "UUID"
Verwenden Sie diesen Wert dort, wo ich UUID_HERE schreibe. Wählen Sie einen Namen für Ihr gemountetes Volume, z. B. sda3_cryptfür sda3. Ich werde ihn name_cryptin den Anweisungen verwenden.
echo "name_crypt UUID=UUID_HERE /etc/luks-keys/name-of-key luks" | sudo tee -a /etc/crypttab
Überprüfen Sie Ihre Konfiguration mit:
sudo cryptdisks_start name_crypt
Zur automatischen Bereitstellung zu fstab hinzufügen:
echo "/dev/mapper/name_crypt /media/path/to/mount ext4 defaults 0 2" | sudo tee -a /etc/fstab
Anmerkungen
Es lohnt sich, jeden dieser Befehle zu verstehen, damit Sie alle gefundenen Probleme beheben können. man dd man cryptsetup man fstabkann Ihnen hier helfen. Ich habe diese Anweisungen unter Debian 11 ausgeführt, der gleiche oder ein ähnlicher Ansatz sollte unter älteren/neueren Debian-Versionen, Ubuntu oder ähnlichen Betriebssystemen funktionieren.
Antwort2
Ok, ich habe die Antwort gefunden: Ich muss sudo cryptsetup -v luksAddKey hinzufügen
Antwort:https://blog.tinned-software.net/automount-a-luks-encrypted-volume-on-system-start/