부팅 시 LVM을 형성하기 위해 여러 LUKS 장치를 잠금 해제할 수 있습니까?

부팅 시 LVM을 형성하기 위해 여러 LUKS 장치를 잠금 해제할 수 있습니까?

다음 설정이 있습니다. LVM을 사용하여 일반적인 Linux 파티션(/, /home/ 등)을 형성하는 LUKS 암호화 SSD입니다. 이 설정은 부팅 시 비밀번호로 잠금 해제됩니다. 저는 데비안 Jessie를 사용하고 있습니다.

공간 부족으로 인해 LVM에 또 다른 PV를 추가하고 싶었습니다. 물론 첫 번째 PV에서 키 파생을 사용하거나 첫 번째 PV와 동일한 비밀번호를 사용하여 부팅 시 LUKS로 암호화 및 해독되어야 합니다.

이는 LVM(/, /home/ 등 포함)이 2개의 LUKS 암호화 SSD에 걸쳐 있음을 의미합니다(물론 각 SSD에는 SSD 자체가 아닌 실제로 암호화된 하나의 파티션이 포함되어 있지만 이것이 분명하다고 생각합니다.).

Systemd가 통합되었기 때문에 부팅 시 이러한 종류의 설정을 잠금 해제하는 것은 불가능한 것 같습니다. 발견된 모든 명령은 키 파생 스크립트가 부팅 시 더 이상 실행되지 않기 때문에 Systemd에서 더 이상 수행할 수 없는 키(또는 기타)를 파생합니다. 그냥 실패).

이것이 실제로 작동하는지, 어떻게 작동하는지 아는 사람이 있나요?

그렇지 않으면 별도의 루트 파티션(LVM 외부)을 갖도록 설정을 변경하여 부팅 후 나머지를 마운트하거나 lvm 내부에 luk를 가질 수 있도록 해야 합니다. 하지만 둘 다 내가 선택하고 싶은 마지막 옵션이다.

고마워!

답변1

방법 1 Systemd가 *buntu 데스크탑에 구현되었기 때문에 모든 추가 LUKS 파티션의 잠금을 해제한다는 사실을 발견했습니다.만약에

  1. 잠금을 해제하려는 모든 파티션은 동일한 비밀번호를 사용합니다.
  2. 처음에는 루트 파티션의 비밀번호를 올바르게 입력했습니다. 잘못 입력하면 다른 모든 LUKS 파티션에 대해 다시 입력해야 합니다.

Ubuntu Server 16.04에서는 작동하지 않습니다.

방법 2 gnome-disk-utility(GUI) 앱 사용 중...

  1. 암호화된 LUKS 파티션을 선택하세요
    1. 톱니바퀴 버튼을 클릭하세요(추가 파티션 옵션)
    2. 암호화 옵션 편집
    3. 자동 암호화 옵션 비활성화
    4. 시작 시 잠금 해제 활성화
    5. (선택 사항) 이름을 변경합니다. 그러면 /dev/mapper/ 아래의 잠금 해제된 파티션에 레이블이 지정됩니다.
    6. 암호를 입력하세요. 이 유틸리티는 이 방법으로 설정한 각 파티션에 대해 /etc/luks-keys/에 키 파일을 생성합니다.
    7. (선택 사항) 수동으로 또는 디스크 유틸리티를 사용하여 잠금 해제된 파티션을 fstab에 추가합니다.
    8. update-initramfs(필수인지 확실하지 않음)
    9. 업데이트 그럽

방법 3keyutils를 사용합니다.

나는 이것을 테스트하지 않았습니다. 에서https://www.redpill-linpro.com/techblog/2016/08/12/btrfs-and-encryption.html

  1. 두 암호화된 볼륨 모두에 동일한 암호를 사용하십시오.
  2. 새로 설치된 시스템으로 부팅합니다.
  3. ~# apt-get install keyutils /etc/crypttab에 나열된 암호화된 볼륨 모두에 keyscript=decrypt_keyctl 옵션을 추가합니다.
  4. 그런 다음 ~# update-initramfs -u -k all keyutils를 포함하도록 initramfs를 업데이트하십시오.
  5. 그런 다음 재부팅하고 입력한 암호가 캐시되어 암호화된 볼륨을 모두 잠금 해제하는 데 사용되는지 확인하십시오.

관련 정보