Niedawno zainstalowałem serwer Ubuntu 11.04 z pełnym szyfrowaniem lvm (instalowanym z instalacji). Chcę teraz użyć pliku klucza do automatycznego odblokowania. Próbowałem postępować zgodnie z tym przewodnikiem http://ubuntuforums.org/showthread.php?t=837416
Wygenerowałem klucz za pomocą tego polecenia: sudo dd if=/dev/urandom of=/boot/grub/keyfile bs=1024 count=4
Włożyłem go, /boot/grub
ponieważ myślę, że nie jest szyfrowany. Kiedy próbuję dodać klucz w tym poleceniu sudo cryptsetup luksAddKey /dev/sdX /boot/grub/keyfile
, prosi mnie o hasło, a kiedy go wkładam, nic się nie dzieje, nic nie jest drukowane na ekranie! Ignoruję to i kontynuuję pozostałe kroki i restartuję się, ale nic się nie wydarzyło i prosi o hasło.
Dzięki za pomoc .
encryption
lvm
luks
izoman
źródło
źródło
Odpowiedzi:
Właśnie przeszedłem przez to na moim nowym serwerze domowym, zajęło mi to dużo googlingu i zgadywania, ale mam to działa. Spróbuję odtworzyć te kroki tutaj. Używam Ubuntu Server 11.10 i zacząłem od prawie standardowej instalacji przy użyciu zaszyfrowanego LVM, więc po prostu powiem zmiany, które tam wprowadziłem.
Ustawiać:
Najpierw utworzyłem plik klucza, tylko w moim katalogu domowym:
(możesz użyć większego rozmiaru bloku lub liczyć na większy klucz)
Powiedz cryptsetup nowemu kluczowi (ważna jest zawartość, a nie nazwa pliku):
Następnie sformatowałem dysk flash USB za pomocą ext2 i nadałem mu etykietę. Użyłem etykiety, aby później zamontować ją według etykiety i wymienić dysk flash USB, na wypadek, gdyby coś poszło nie tak.
(oczywiście Twoje urządzenie będzie się różnić)
Teraz skopiuj plik klucza na dysk flash USB, którego właścicielem jest tryb root 400:
Zmodyfikuj / etc / crypttab. Mój pierwotnie zawarty
które zmieniłem na
Na koniec zaktualizuj initramfs:
Teraz uruchamia się przy użyciu pliku klucza na dysku flash USB. Jeśli wyjmę dysk flash (powiedzmy, kiedy wyjeżdżam na wakacje), nie uruchomi się, a moje dane będą bezpieczne.
Jeśli ktoś wie, jak go poprosić o hasło, jeśli brakuje dysku flash USB, byłoby to przydatne jako awaryjne. Mam nadzieję, że to pomoże, wszelkie uzupełnienia lub poprawki będą mile widziane!
źródło
keyscript=/lib/cryptsetup/scripts/passdev
dodajepassdev
do niego skrypt. A następnieupdate-initramfs -uv
odbudowuje archiwum systemu plików.A start job is running for dev-sda8:-keyfile.device (1min 18s...)
itd. Mija, wszystko jest zamontowane, ale przez chwilę się zawiesza. Dziennik mówi: „Przekroczono limit czasu oczekiwania na urządzenie dev-sda8: -sda7keyfile.device; Zależność nie powiodła się dla instalacji Crypto dla sda7crypt”. Oczywiście został już zamontowany przez initram, ale ... Co robię źle?keyscript
całkowicie zignoruje to pole.Te instrukcje z howtoforge.com uruchomiły mnie z automatycznie odszyfrowującym woluminem.
Instrukcje: automatyczne odblokowywanie zaszyfrowanych dysków LUKS za pomocą pliku klucza
Krok 1: Utwórz losowy plik klucza
Krok 2: Zrób plik klucza tylko do odczytu, aby zrootować
Dzięki temu plik klucza będzie czytelny tylko przez root. Jeśli ktoś uzyska dostęp do tego pliku kluczy, to i tak masz większy problem na swoim komputerze.
Alternatywnie zmień pożądany plik klucza na root: root i przenieś go do folderu / root
Krok 3: Dodaj plik klucza do LUKS
Urządzenia obsługujące LUKS / dm_crypt mogą przechowywać do 10 różnych plików kluczy / haseł. Tak więc, oprócz już skonfigurowanego hasła, dodamy ten plik klucza jako dodatkową metodę autoryzacji.
SDX to oczywiście twoje urządzenie LUKS.
Najpierw zostaniesz poproszony o podanie (istniejącego) hasła, aby odblokować dysk. Jeśli wszystko działa dobrze, powinieneś otrzymać taki wynik:
Krok 4: Utwórz program mapujący
Urządzenia LUKS muszą utworzyć program odwzorowujący, do którego można będzie się odwoływać w fstab. Otwórz / etc / crypttab
i dodaj następującą linię:
lub możesz użyć UUID urządzenia:
sdX_crypt to nazwa tworzonego mapera. Możesz użyć tutaj dowolnej nazwy, np. „Muzyka”, „filmy” lub „sfdsfawe” ....
Zapisz i zamknij plik, wydając ctrl-x, enter, enter. Ctrl-x zamyka nano, ale najpierw prosi o zapisanie pliku [tak = enter] i jaka będzie nazwa [ta sama nazwa = enter].
To, co tam zrobiliśmy, mówi, że do odblokowania dysku należy użyć / root / keyfile zamiast hasła.
Krok 5: Zamontuj urządzenie w fstab
Teraz mamy odblokowane urządzenie (cóż, jeszcze nie, ale podczas uruchamiania systemu) i wystarczy je teraz zamontować. Otwórz / etc / fstab:
i dodaj nowy wpis, taki jak:
Upewnij się, że masz poprawną nazwę mapowania dodaną w kroku 4. Upewnij się także, że punkt / folder instalacji istnieje. Po dodaniu zapisz ponownie plik i zamknij go (ctrl-x, enter, enter).
Krok 6: Uruchom ponownie lub podłącz ponownie
to jest to! Teraz możesz zrestartować komputer, a dodatkowe urządzenia powinny zostać automatycznie odblokowane i zamontowane. Możesz to również przetestować, ponownie instalując wszystkie urządzenia:
źródło
initramfs
, potrzebne 100%Ulepszając odpowiedź Randy'ego Orrisona , oto mały skrypt, który stworzyłem, który sprawi, że system wróci do pytania użytkownika o hasło, jeśli nie uda mu się znaleźć pliku klucza.
Zapisz go i zastąpić
keyscript=/lib/cryptsetup/scripts/passdev
w/etc/crypttab
ze ścieżką do tego pliku i metęsudo update-initramfs -uv
i gotowe.źródło
Startet AppArmor initialization.
kiedy dostaję: Uruchomione jest zadanie startowe dla pliku-kluczy-dysku-dev. Po rozpoczęciu lat 90. X mogę korzystać z mojego systemu ... nie mam pojęcia, jak naprawić to zadanie początkowe ...@deitch Miałem taką samą konfigurację jak @Randy Orrison i napotkałem ten sam problem co ty i okazuje się, że to błąd systemd, który próbuje ponownie zamontować system plików /, gdy znajdzie odpowiedni wpis w / etc / crypttab.
Aby rozwiązać ten problem, właśnie usunąłem wpis sda5_crypt z / etc / crypttab po uruchomieniu komendy update-initramfs -uv.
Uruchom ponownie i wszystko działa zgodnie z przeznaczeniem.
źródło