Eu tenho a seguinte configuração: Um SSD criptografado LUKS no qual um LVM é usado para formar as partições Linux típicas (/,/home/, etc.). Esta configuração é desbloqueada na inicialização por uma senha. Estou usando o Debian Jessie.
Devido à falta de espaço, eu queria adicionar outro PV ao LVM, que obviamente deveria ser criptografado e descriptografado por LUKS na inicialização - com o uso de derivação de chave do primeiro PV ou usando a mesma senha do primeiro PV.
Isso significa que o LVM (que inclui /, /home/, etc.) se estende por dois SSDs criptografados LUKS (é claro que cada SSD contém uma partição que é realmente criptografada e não os próprios SSDs, mas acho que isso é óbvio).
Parece impossível desbloquear esse tipo de configuração na inicialização, já que o Systemd foi integrado - todas as instruções encontradas derivam chaves (ou então) que não são mais possíveis de fazer com o Systemd porque os scripts de derivação de chaves não são mais executados na inicialização (ou as instruções apenas falhar).
Alguém sabe se e como isso realmente funciona?
Caso contrário, terei que alterar minha configuração para ter uma partição raiz separada (fora do LVM) para que o restante possa ser montado após a inicialização ou para ter luks dentro do lvm. Mas ambas são as últimas opções que quero escolher.
THX!
Responder1
Método 1 Descobri que, como o Systemd foi implementado no desktop * buntu, ele desbloqueará todas as partições LUKS adicionaisse
- todas as partições que você deseja desbloquear usam a mesma senha
- você insere a senha da partição raiz corretamente na primeira vez. Se você errar, precisará digitá-lo novamente para todas as outras partições LUKS
Isso não funciona para mim no Ubuntu Server 16.04
Método 2 Usando o aplicativo gnome-disk-utility (GUI)...
- selecione a partição LUKS criptografada
- clique no botão de engrenagem (opções adicionais de partição)
- Editar opções de criptografia
- desativar opções de criptografia automática
- ativar o desbloqueio na inicialização
- (opcional) altere o nome. Isto irá rotular a partição desbloqueada em /dev/mapper/
- digite a senha. O utilitário criará um arquivo-chave em /etc/luks-keys/ para cada partição que você configurar desta forma
- (opcional) adicione partições desbloqueadas ao fstab manualmente ou usando o utilitário de disco
- update-initramfs (não tenho certeza se isso é necessário)
- atualização-grub
Método 3Usando keyutils.
Eu não testei isso. Dehttps://www.redpill-linpro.com/techblog/2016/08/12/btrfs-and-encryption.html
- use a mesma senha para ambos os volumes criptografados.
- Inicialize em seu sistema recém-instalado:
~# apt-get install keyutils
e adicione a opção keyscript=decrypt_keyctl a ambos os volumes criptografados listados em /etc/crypttab.- Em seguida, emita:
~# update-initramfs -u -k all
para atualizar seu initramfs para incluir keyutils. - Em seguida, reinicie e verifique se a senha inserida está armazenada em cache e é usada para desbloquear ambos os volumes criptografados.