Можно ли разблокировать несколько устройств LUKS для формирования LVM при загрузке?

Можно ли разблокировать несколько устройств LUKS для формирования LVM при загрузке?

У меня следующая конфигурация: SSD-накопитель с шифрованием LUKS, на котором LVM используется для формирования типичных разделов Linux (/, /home/ и т. д.). Эта конфигурация разблокируется при загрузке паролем. Я использую Debian Jessie.

Из-за нехватки места я хотел добавить еще один PV в LVM, который, конечно же, должен быть зашифрован с помощью LUKS и расшифрован при загрузке — с использованием ключа, полученного из первого PV, или с использованием того же пароля, что и у первого PV.

Это означает, что LVM (включая /, /home/ и т. д.) охватывает два зашифрованных LUKS SSD (конечно, каждый SSD содержит один раздел, который на самом деле зашифрован, а не сами SSD, но я думаю, это очевидно).

Похоже, что разблокировать такую ​​настройку при загрузке невозможно, поскольку Systemd интегрирован — все найденные инструкции выводят ключи (или что-то еще), что больше невозможно сделать с помощью Systemd, поскольку скрипты выведения ключей больше не выполняются при загрузке (или инструкции просто не выполняются).

Кто-нибудь знает, работает ли это на самом деле и как?

В противном случае мне придется изменить свою настройку, чтобы иметь отдельный корневой раздел (вне LVM), чтобы остальное можно было смонтировать после загрузки, или иметь luks внутри lvm. Но оба варианта — последние, которые я хочу выбрать.

Спасибо!

решение1

Метод 1 Я обнаружил, что поскольку Systemd был реализован в *buntu desktop, он разблокирует все дополнительные разделы LUKSесли

  1. все разделы, которые вы хотите разблокировать, используют один и тот же пароль
  2. вы правильно ввели пароль для корневого раздела в первый раз. Если вы ошиблись, вам придется вводить его снова для каждого другого раздела LUKS

У меня это не работает в Ubuntu Server 16.04

Метод 2 Использование приложения gnome-disk-utility (GUI)...

  1. выберите зашифрованный раздел LUKS
    1. нажмите кнопку шестеренки (дополнительные параметры раздела)
    2. Изменить параметры шифрования
    3. отключить параметры автоматического шифрования
    4. включить разблокировку при запуске
    5. (необязательно) изменить Имя. Это пометит разблокированный раздел как /dev/mapper/
    6. введите парольную фразу. Утилита создаст файл ключей в /etc/luks-keys/ для каждого раздела, который вы настроите таким образом
    7. (необязательно) добавьте разблокированные разделы в fstab вручную или с помощью дисковой утилиты
    8. update-initramfs (не уверен, что это необходимо)
    9. обновление-grub

Метод 3Использование keyutils.

Я это не проверял. Отhttps://www.redpill-linpro.com/techblog/2016/08/12/btrfs-and-encryption.html

  1. используйте одну и ту же парольную фразу для обоих зашифрованных томов.
  2. Загрузите только что установленную систему:
  3. ~# apt-get install keyutils и добавьте параметр keyscript=decrypt_keyctl к обоим зашифрованным томам, перечисленным в /etc/crypttab.
  4. Затем выполните: ~# update-initramfs -u -k all чтобы обновить initramfs и включить keyutils.
  5. Затем перезагрузите компьютер и проверьте, что введенная парольная фраза кэширована и используется для разблокировки обоих зашифрованных томов.

Связанный контент