Tengo algunos sistemas configurados usando GRUB como gestor de arranque, con una partición de arranque sin cifrar y todo lo demás usando LVM-on-LUKS. En este momento, la única forma de desbloquear el sistema es ir físicamente al teclado e ingresar la contraseña. Me gustaría que sea posible almacenar un archivo de clave en una unidad USB y que el sistema se inicie automáticamente si la unidad USB está presente.
Esta publicación de blog(archivo),esta publicación SOyesta publicación en el foro(archivo) cada uno explica formas de hacer esto, pero en cada caso hay un paso que básicamente dice "editar su /etc/crypttabconfiguración", pero cuando abro /etc/crypttab, el comentario en la parte superior dice:
# NOTE: Do not list your root (/) partition here, it must be set up
beforehand by the initramfs (/etc/mkinitcpio.conf)
Y de hecho mi sistema lo hacenotiene una entrada para root aquí. En cambio, eso se configura en la configuración de grub, que tiene la línea:
GRUB_CMDLINE_LINUX="... root=/dev/mapper/vg-root cryptdevice=UUID={uuid}:cryptlvm"
¿El aviso es /etc/crypttabincorrecto? ¿O es posible que las personas que parecen pensar que estos métodos que implican edición /etc/crypttabtengan una configuración de arranque diferente? Si el aviso es correcto, ¿cuál es la forma correcta de hacer que GRUB busque un archivo clave en una unidad USB?
Nota:esta preguntatambién resuelve a favor del /etc/crypttabmétodo.
Respuesta1
No sé si las /etc/crypttabcosas realmente funcionarían, pero logré que esto funcionara usando solo la grubconfiguración. Resulta que esto estaba bastante bien documentado.en el Wiki de ArchLinux(como suele ser el caso). En mi caso, tenía una ext4unidad USB formateada, así que entré /etc/mkinitcpio.confy ext4agregué MODULES:
MODULES=(ext4)
Luego, en /etc/default/grub, cambié GRUB_CMDLINE_LINUXpara agregar el cryptkeyparámetro, así:
GRUB_CMDLINE_LINUX="quiet ... cryptkey=LABEL=my_usb_label:ext4:/path/to/keyfile
¿Dónde /path/to/keyfileestá la ruta al archivo de claves en la unidad USB, como /raíz?de la unidad USB. Puedes encontrar más información sobre el uso del encryptgancho.aquí.