¿Es posible desbloquear varios dispositivos LUKS para formar un LVM en el arranque?

¿Es posible desbloquear varios dispositivos LUKS para formar un LVM en el arranque?

Tengo la siguiente configuración: Un SSD cifrado LUKS en el que se usa un LVM para formar las particiones típicas de Linux (/, /home/, etc.). Esta configuración se desbloquea al arrancar mediante una contraseña. Estoy usando Debian Jessie.

Debido a la falta de espacio, quería agregar otro PV al LVM, que por supuesto debería estar cifrado y descifrado con LUKS en el arranque, con el uso de la derivación de clave del primer PV o usando la misma contraseña que el primer PV.

Esto significa que el LVM (que incluye /, /home/, etc.) abarca dos SSD cifrados con LUKS (por supuesto, cada SSD contiene una partición que en realidad está cifrada y no los SSD en sí, pero creo que esto es obvio).

Parece imposible desbloquear este tipo de configuración en el arranque desde que Systemd se ha integrado: todas las instrucciones encontradas derivan claves (o de lo contrario) que ya no es posible hacer con Systemd porque los scripts de derivación de claves ya no se ejecutan en el arranque (o las instrucciones). simplemente falla).

¿Alguien sabe si esto realmente funciona y cómo?

De lo contrario, tengo que cambiar mi configuración para tener una partición raíz separada (fuera de LVM) para que el resto pueda montarse después del arranque, o tener luks dentro de lvm. Pero ambas son las últimas opciones que quiero elegir.

¡Gracias!

Respuesta1

Método 1 Descubrí que, dado que Systemd se implementó en el escritorio *buntu, desbloqueará todas las particiones LUKS adicionales.si

  1. Todas las particiones que deseas desbloquear usan la misma contraseña.
  2. ingresa la contraseña para la partición raíz correctamente la primera vez. Si se equivoca, deberá ingresarlo nuevamente para cada otra partición LUKS.

Esto no me funciona en Ubuntu Server 16.04

Método 2 Usando la aplicación gnome-disk-utility (GUI)...

  1. seleccione la partición LUKS cifrada
    1. haga clic en el botón de engranaje (opciones de partición adicionales)
    2. Editar opciones de cifrado
    3. desactivar las opciones de cifrado automático
    4. habilitar Desbloquear al inicio
    5. (opcional) cambiar nombre. Esto etiquetará la partición desbloqueada en /dev/mapper/
    6. ingrese la frase de contraseña. La utilidad creará un archivo de claves en /etc/luks-keys/ para cada partición que configure de esta manera.
    7. (opcional) agregue particiones desbloqueadas a fstab manualmente o usando la utilidad de disco
    8. update-initramfs (no estoy seguro si esto es necesario)
    9. actualizar-grub

Método 3Usando utilidades clave.

No he probado esto. Dehttps://www.redpill-linpro.com/techblog/2016/08/12/btrfs-and-encryption.html

  1. utilice la misma frase de contraseña para ambos volúmenes cifrados.
  2. Inicie su sistema recién instalado:
  3. ~# apt-get install keyutils y agregue la opción keyscript=decrypt_keyctl a ambos volúmenes cifrados enumerados en /etc/crypttab.
  4. Luego emita: ~# update-initramfs -u -k all para actualizar su initramfs para incluir keyutils.
  5. Luego reinicie y verifique que la frase de contraseña ingresada esté almacenada en caché y se use para desbloquear ambos volúmenes cifrados.

información relacionada