У меня следующая конфигурация: SSD-накопитель с шифрованием LUKS, на котором LVM используется для формирования типичных разделов Linux (/, /home/ и т. д.). Эта конфигурация разблокируется при загрузке паролем. Я использую Debian Jessie.
Из-за нехватки места я хотел добавить еще один PV в LVM, который, конечно же, должен быть зашифрован с помощью LUKS и расшифрован при загрузке — с использованием ключа, полученного из первого PV, или с использованием того же пароля, что и у первого PV.
Это означает, что LVM (включая /, /home/ и т. д.) охватывает два зашифрованных LUKS SSD (конечно, каждый SSD содержит один раздел, который на самом деле зашифрован, а не сами SSD, но я думаю, это очевидно).
Похоже, что разблокировать такую настройку при загрузке невозможно, поскольку Systemd интегрирован — все найденные инструкции выводят ключи (или что-то еще), что больше невозможно сделать с помощью Systemd, поскольку скрипты выведения ключей больше не выполняются при загрузке (или инструкции просто не выполняются).
Кто-нибудь знает, работает ли это на самом деле и как?
В противном случае мне придется изменить свою настройку, чтобы иметь отдельный корневой раздел (вне LVM), чтобы остальное можно было смонтировать после загрузки, или иметь luks внутри lvm. Но оба варианта — последние, которые я хочу выбрать.
Спасибо!
решение1
Метод 1 Я обнаружил, что поскольку Systemd был реализован в *buntu desktop, он разблокирует все дополнительные разделы LUKSесли
- все разделы, которые вы хотите разблокировать, используют один и тот же пароль
- вы правильно ввели пароль для корневого раздела в первый раз. Если вы ошиблись, вам придется вводить его снова для каждого другого раздела LUKS
У меня это не работает в Ubuntu Server 16.04
Метод 2 Использование приложения gnome-disk-utility (GUI)...
- выберите зашифрованный раздел LUKS
- нажмите кнопку шестеренки (дополнительные параметры раздела)
- Изменить параметры шифрования
- отключить параметры автоматического шифрования
- включить разблокировку при запуске
- (необязательно) изменить Имя. Это пометит разблокированный раздел как /dev/mapper/
- введите парольную фразу. Утилита создаст файл ключей в /etc/luks-keys/ для каждого раздела, который вы настроите таким образом
- (необязательно) добавьте разблокированные разделы в fstab вручную или с помощью дисковой утилиты
- update-initramfs (не уверен, что это необходимо)
- обновление-grub
Метод 3Использование keyutils.
Я это не проверял. Отhttps://www.redpill-linpro.com/techblog/2016/08/12/btrfs-and-encryption.html
- используйте одну и ту же парольную фразу для обоих зашифрованных томов.
- Загрузите только что установленную систему:
~# apt-get install keyutils
и добавьте параметр keyscript=decrypt_keyctl к обоим зашифрованным томам, перечисленным в /etc/crypttab.- Затем выполните:
~# update-initramfs -u -k all
чтобы обновить initramfs и включить keyutils. - Затем перезагрузите компьютер и проверьте, что введенная парольная фраза кэширована и используется для разблокировки обоих зашифрованных томов.