É possível desbloquear vários dispositivos LUKS para formar um LVM na inicialização?

É possível desbloquear vários dispositivos LUKS para formar um LVM na inicialização?

Eu tenho a seguinte configuração: Um SSD criptografado LUKS no qual um LVM é usado para formar as partições Linux típicas (/,/home/, etc.). Esta configuração é desbloqueada na inicialização por uma senha. Estou usando o Debian Jessie.

Devido à falta de espaço, eu queria adicionar outro PV ao LVM, que obviamente deveria ser criptografado e descriptografado por LUKS na inicialização - com o uso de derivação de chave do primeiro PV ou usando a mesma senha do primeiro PV.

Isso significa que o LVM (que inclui /, /home/, etc.) se estende por dois SSDs criptografados LUKS (é claro que cada SSD contém uma partição que é realmente criptografada e não os próprios SSDs, mas acho que isso é óbvio).

Parece impossível desbloquear esse tipo de configuração na inicialização, já que o Systemd foi integrado - todas as instruções encontradas derivam chaves (ou então) que não são mais possíveis de fazer com o Systemd porque os scripts de derivação de chaves não são mais executados na inicialização (ou as instruções apenas falhar).

Alguém sabe se e como isso realmente funciona?

Caso contrário, terei que alterar minha configuração para ter uma partição raiz separada (fora do LVM) para que o restante possa ser montado após a inicialização ou para ter luks dentro do lvm. Mas ambas são as últimas opções que quero escolher.

THX!

Responder1

Método 1 Descobri que, como o Systemd foi implementado no desktop * buntu, ele desbloqueará todas as partições LUKS adicionaisse

  1. todas as partições que você deseja desbloquear usam a mesma senha
  2. você insere a senha da partição raiz corretamente na primeira vez. Se você errar, precisará digitá-lo novamente para todas as outras partições LUKS

Isso não funciona para mim no Ubuntu Server 16.04

Método 2 Usando o aplicativo gnome-disk-utility (GUI)...

  1. selecione a partição LUKS criptografada
    1. clique no botão de engrenagem (opções adicionais de partição)
    2. Editar opções de criptografia
    3. desativar opções de criptografia automática
    4. ativar o desbloqueio na inicialização
    5. (opcional) altere o nome. Isto irá rotular a partição desbloqueada em /dev/mapper/
    6. digite a senha. O utilitário criará um arquivo-chave em /etc/luks-keys/ para cada partição que você configurar desta forma
    7. (opcional) adicione partições desbloqueadas ao fstab manualmente ou usando o utilitário de disco
    8. update-initramfs (não tenho certeza se isso é necessário)
    9. atualização-grub

Método 3Usando keyutils.

Eu não testei isso. Dehttps://www.redpill-linpro.com/techblog/2016/08/12/btrfs-and-encryption.html

  1. use a mesma senha para ambos os volumes criptografados.
  2. Inicialize em seu sistema recém-instalado:
  3. ~# apt-get install keyutils e adicione a opção keyscript=decrypt_keyctl a ambos os volumes criptografados listados em /etc/crypttab.
  4. Em seguida, emita: ~# update-initramfs -u -k all para atualizar seu initramfs para incluir keyutils.
  5. Em seguida, reinicie e verifique se a senha inserida está armazenada em cache e é usada para desbloquear ambos os volumes criptografados.

informação relacionada