Intento montar el disco automáticamente cuando se inicia el sistema. Utilizo crypttab y la contraseña que tengo en el archivo en texto sin formato.
Mi configuración:
sda3_crypt UUID=my_id none luks,discard
wd_01 UUID=my_id /luks-keys/wd1 luks,timeout=180
wd-crypt UUID=my_id /luks-keys/wd1
sda3_crypt --> sistema principal
wd_01 --> disco que quiero montar
wd-crypt --> partición luks que quiero montar
Y después de iniciar el sistema y poner la contraseña principal, inicie el sistema pero no cifre wd_01.
Cuando agrego el punto de montaje a fstab, cambia. Al arrancar, pongo mi contraseña principal, inicio el sistema y luego solicito una segunda contraseña para wd_01 e ignoro el hecho de que le puse la contraseña en /root/luks-keys/wd1 en crypttab :/
lsblk:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 111.8G 0 disk
├─sda1 8:1 0 512M 0 part /boot/efi
├─sda2 8:2 0 954M 0 part /boot
└─sda3 8:3 0 110.4G 0 part
└─sda3_crypt 253:0 0 110.4G 0 crypt
├─main-swap 253:1 0 7.5G 0 lvm [SWAP]
└─main-system 253:2 0 102.9G 0 lvm /
sdb 8:16 0 1.8T 0 disk
└─sdb-crypt 253:4 0 1.8T 0 crypt /srv/dev-disk-by-label-wd01
sdc 8:32 0 1.8T 0 disk
└─seagate_01 253:3 0 1.8T 0 crypt /srv/dev-disk-by-label-seagate01
wd_01 es mi sdb y wd-crypt es mi sdb-crypt
Respuesta1
Primero una nota de seguridad, necesitarás proteger el archivo que tiene la contraseña o clave LUKS. Probablemente eso signifique usar una partición cifrada para la partición raíz de su sistema operativo. Si no protege ese archivo, el cifrado no le ayudará mucho.
A continuación, sustitúyalo /dev/device-and-partpor su partición (IE sda3).
Considere hacer una copia de seguridad de sus datos o de cualquiera de los archivos modificados en las instrucciones. Es posible perder datos o hacer que su sistema quede inoperable si comete un error.
Crear una nueva clave LUKS
Cree una clave a partir de datos aleatorios, asegúrese de que solo el usuario root tenga acceso:
sudo mkdir /etc/luks-keys/
sudo dd if=/dev/urandom of=/etc/luks-keys/name-of-key bs=512 count=8 iflag=fullblock
sudo chown root.root /etc/luks-keys/name-of-key
sudo chmod 400 /etc/luks-keys/name-of-key
Ahora asocie la clave con la partición, deberá escribir la contraseña existente cuando se le solicite:
sudo cryptsetup -v luksAddKey /dev/device-and-part /etc/luks-keys/name-of-key
Verifique que funcionó, pruebe el archivo clave:
sudo cryptsetup open -v --test-passphrase /dev/device-and-part --key-file /etc/luks-keys/name-of-key
Ahora puede desbloquear la partición cifrada con la contraseña del archivo clave.
Desbloquear y montar
Descubra el UUID de su partición. Esta ID única se utiliza para identificar la partición en el momento del arranque.
sudo cryptsetup luksDump /dev/device-and-part | grep "UUID"
Utilice ese valor donde escribo UUID_HERE. Elija un nombre para su volumen montado, como sda3_cryptpor sda3. Lo usaré name_crypten las instrucciones.
echo "name_crypt UUID=UUID_HERE /etc/luks-keys/name-of-key luks" | sudo tee -a /etc/crypttab
Verifique su configuración usando:
sudo cryptdisks_start name_crypt
Agregue a fstab para montar automáticamente:
echo "/dev/mapper/name_crypt /media/path/to/mount ext4 defaults 0 2" | sudo tee -a /etc/fstab
Notas
Vale la pena comprender cada uno de estos comandos para poder depurar cualquier problema que encuentre. man dd man cryptsetup man fstabpuede ayudarte aquí. Ejecuté estas instrucciones en Debian 11, el mismo enfoque o uno similar debería funcionar en versiones anteriores o más recientes de Debian, Ubuntu o sistemas operativos similares.
Respuesta2
Ok, encuentro la respuesta: necesito agregar sudo cryptsetup -v luksAddKey
respuesta:https://blog.tinned-software.net/automount-a-luks-encrypted-volume-on-system-start/