Zamontować zaszyfrowane woluminy z wiersza polecenia?

Jeśli mam zaszyfrowany dysk zewnętrzny (lub dysk wewnętrzny, który nie jest w fstab), widzę dla niego wpis w Nautilusie - z wpisem takim jak „X GB Encrypted Volume”. Mogę kliknąć ten wolumin i pojawia się monit o hasło do odszyfrowania i zamontowania urządzenia.

Ale jak to zrobić z wiersza poleceń?

Ta strona wiki i inne dokumenty, które mogę znaleźć, odnoszą się tylko do metod GUI deszyfrowania urządzenia; ale nie zrobi tego w kontekście bezgłowych serwerów lub loginów SSH. Czy istnieje prosty sposób na zmontowanie urządzeń w automatycznych lokalizacjach, /mediatak jak w przypadku GUI?

(Nie pytam o zaszyfrowane katalogi domowe - jestem tego świadomy ecryptfs-mount-private. To pytanie dotyczy dodatkowych zaszyfrowanych woluminów).

Kroki w odpowiedzi @Georga Schölly'ego nie działały wtedy dla mnie, chociaż mogą teraz działać, kilka wydań Ubuntu później. Wtedy po sudo mount /dev/mapper/my_encrypted_volume /media/my_devicekroku dostałem błąd:

mount: nieznany typ systemu plików „LVM2_member”

Odblokowywanie i montowanie dysku za pomocą udiskctl

Zamiast tego użyłem udisksctlinterfejsu wiersza polecenia, który współdziała z udisksdusługą.

Oto, co zadziałało ( /dev/sdb5czy partycja na moim dysku twardym jest oznaczona jako crypt-luks):

udisksctl unlock -b /dev/sdb5
udisksctl mount -b /dev/mapper/ubuntu--vg-root

Po wpisaniu pierwszego polecenia pojawi się monit o podanie hasła szyfrowania. Po odblokowaniu zaszyfrowanej partycji zamontowane zostanie drugie polecenie. Jeśli się powiedzie, pojawi się komunikat podobny do tego:

Mounted /dev/dm-1 at /media/dpm/e8cf82c0-f0a3-41b3-ab28-1f9d23fcfa72

Stamtąd mogłem uzyskać dostęp do danych :)

Blokowanie dysku za pomocą udiskctl

Odmontuj urządzenie:

udisksctl unmount -b /dev/mapper/ubuntu--vg-root

ubuntu-vgNajpierw musisz dezaktywować wszystkie woluminy logiczne w grupie woluminów. W przeciwnym razie pojawi się błąd podobny do „Device busy”, jeśli spróbujesz go zablokować ( więcej informacji ):

sudo lvchange -an ubuntu-vg

Następnie będziesz mógł zablokować zaszyfrowaną partycję

udisksctl lock -b /dev/sdb5

Notatki

• Te udisksctlpolecenia są wykonywane bez sudo .

• Nazwy Mapper urządzenie : the ubuntu--vg-rootnazewnictwo może się zmienić w poprzek wydaniach Ubuntu (np Widziałem to nazywa system-rooti ubuntu-rootzbyt). Łatwym sposobem na znalezienie nazwy jest uruchomienie następującego polecenia po odblokowaniu partycji LUKS :

  ls -la /dev/mapper

  Następnie, patrząc na wynik lspolecenia, nazwa, której będziesz potrzebować, będzie zasadniczo tą, do której symbolizuje dowiązanie/dev/dm-1

• Nazwy mapowania urządzeń, alternatywne : alternatywą dla poprzedniego polecenia jest uruchomienie:

  lsblk -e7

  Tam zobaczysz mapowanie nazwy urządzenia jako widok drzewa. -e 7Opcja jest stosowane do blokowania urządzenia pętli (ID 7) utworzona przez zainstalowane na zatrzaski z wyjścia. Po prostu mniej bałaganu.

• Nazwy woluminów logicznych : możesz uruchomić sudo lvspolecenie, aby znaleźć nazwy grup woluminów i woluminów logicznych
• Aplikacja Dyski : aplikacja Dyski GNOME nie automatycznie dezaktywuje woluminów logicznych przed zablokowaniem partycji. Nawet jeśli pomyślnie odblokowałeś partycję za pomocą GUI, musisz przejść do wiersza poleceń i wykonać sudo lvchange -an ubuntu-vgpolecenie, zanim będziesz mógł zablokować je z GUI.

Twój wolumin jest prawdopodobnie zaszyfrowany za pomocą LUKS, oto jak go zamontować:

Potrzebujesz:

sudo apt-get install cryptsetup

Aby odszyfrować wolumin:

sudo cryptsetup luksOpen /dev/sda1 my_encrypted_volume

Teraz możesz zamontować go jak zwykle:

sudo mkdir /media/my_device
sudo mount /dev/mapper/my_encrypted_volume /media/my_device

Aby ponownie zablokować pojemnik, najpierw należy odmontować:

sudo umount /media/my_device
sudo cryptsetup luksClose my_encrypted_volume

Aby automatycznie umieścić go w /medialokalizacji, użyj narzędzia udisks

sudo udisks --mount /dev/mapper/my_encrypted_volume

Jeśli pojawi się ten błąd:

mount: unknown filesystem type 'LVM2_member'

biegać:

sudo apt-get install lvm2
sudo lvscan

następnie aktywuj wszystkie LVM, które widzisz

sudo vgchange -ay

następnie ponownie uruchom mount:

sudo mount /dev/mapper/my_encrypted_volume /media/my_device

Jednym z problemów, na jakie natknąłem, były zduplikowane grupy woluminów : Zarówno mój system odzyskiwania, jak i dysk do odzyskania były systemami ubuntu z LVM. Właśnie dlatego miałem dwie ubuntu-vggrupy woluminów ( vgdisplaywyświetlałyby obie, każda z własnym UUID, ale nie mogłem dostać się do ich woluminów logicznych).

Moje rozwiązanie opiera się na odpowiedzi Georga:

• Uruchom system Linux na żywo (aby nie wpaść na zduplikowaną nazwę grupy woluminów)
• sudo cryptsetup luksOpen /dev/sdaX my_encrypted_volume
• po wyświetleniu monitu wprowadź hasło

• sudo vgscan powinien teraz podnieść zawarte woluminy / grupy.

• DRAGONS AHEAD: ZMIENIAMY NAZWĘ GRUPY OBJĘTOŚCI. NIE MOŻESZ BYĆ URUCHOMIONY, ŻE JEDŹ JUŻ PO PRZODU!

  służy sudo vgrename ubuntu-vg ubuntu-vg2do zmiany nazwy grupy woluminów.

  Jeśli musisz uruchomić komputer z tego dysku, możesz ponownie wykonać te czynności, ale zmień nazwę grupy woluminów z powrotem na ubuntu-vg. Inną możliwością jest zmiana konfiguracji rozruchu na nową nazwę vg.

Teraz, gdy zduplikowana nazwa vg została rozwiązana, mogę uruchomić się z powrotem do mojego zwykłego systemu, powtórzyć cryptsetup..., vgscana następnie zamontować w /dev/mapper/ubuntu--vg2-rootdowolnym miejscu.

sdb1 to przykład, w którym powinieneś wpisać nazwę swojego urządzenia, żadne z tych poleceń nie będzie wymagało uprawnień roota

odblokuj zaszyfrowany dysk

udisksctl unlock -b /dev/sdb1

po wstawieniu poprawnego hasła wyświetli coś takiego: Unlocked / dev / sdb1 as / dev / dm-3

następnie zamontuj go w / media /

udisksctl mount -b /dev/dm-3

powinien wypisać coś takiego: Zamontowany / dev / dm-3 w / media / yourUserName / sdb

odmontować to

udisksctl unmount -b /dev/dm-3

zablokować to ponownie

udisksctl lock -b /dev/sdb1

Wszystkie powyższe odpowiedzi przyjęły założenie, że użytkownik już wie, która partycja jest zaszyfrowana. Pochodzę od kogoś, kto tak bardzo nie lubi wiersza poleceń, spodziewałem się przyjaznej dla użytkownika odpowiedzi ... Więc moje 2 centy tutaj.

1. Otwórz aplikację „dyski” ubuntu.
2. Znajdź zamontowany dysk twardy w lewym panelu.
3. Kliknij partycję, która ma w nazwie nazwę „LUKS”: w ten sposób możesz zobaczyć jej punkt montowania w tekście „Urządzenie” poniżej (w moim przypadku /dev/sdb4:).

Potem próbowałem zamontować go jak wskazano powyżej:

$ sudo cryptsetup luksOpen /dev/sdb4 someNameForMyVolume
Enter passphrase for /dev/sdb4: 

Ale dostałem ten błąd:

Cannot use device /dev/sdb4 which is in use (already mapped or mounted).

Ok, więc myślę, że nautilus już próbował go zamontować (ponieważ tak naprawdę poprosił mnie o hasło, kiedy podłączyłem USB, nawet jeśli nie pokazało to odszyfrowanego drzewa). Jednak komunikat o błędzie nie jest zbyt pomocny, ponieważ nie mówi mi, gdzie jest już zamapowany / zamontowany. Ale to polecenie pomaga w tym przypadku:

$ udisksctl unlock -b /dev/sdb4
Passphrase: 
Error unlocking /dev/sdb4: GDBus.Error:org.freedesktop.UDisks2.Error.Failed: Device /dev/sdb4 is already unlocked as /dev/dm-3

Aha! Więc to jest /dev/dm-3.

Jednak podczas próby zamontowania nie działa:

$ udisksctl mount -b /dev/dm-3
Object /org/freedesktop/UDisks2/block_devices/dm_2d3 is not a mountable filesystem.

Po wielu majstrach dowiedziałem się, że duplicate volume groupsnapotkałem problem (opisany powyżej przez @amenthes), ponieważ polecenia sudo vgscan -vi sudo vgdisplaypokazywałem dwa wpisy o tej samej nazwie grupy woluminów. Znalazłem jednak lepszy sposób na poradzenie sobie z tym niż jego metoda (nie trzeba uruchamiać LiveCD, aby zmienić nazwę grup woluminów!), W tym linku , który zacytuję powyżej (na wypadek, gdyby link się zepsuł ...) :

Jeśli uruchomisz ls -la /dev/mapper/, powinieneś zobaczyć luks-xxxxxx-xxxxx-xxxxtaki plik. To jest mapowanie, które zostało utworzone, gdy Ubuntu poprosiło o hasło do szyfrowania w oknie dialogowym, ale nie udało się go otworzyć (wszystko, co zrobiono, to wywołać luksOpeni zamapować je do tego pliku / dev / mapper / luks-xxx). Teraz:

1. Upewnij się, że wolumin fizyczny jest dostępny, uruchamiając sudo pvdisplaypolecenie. Powinien to być / dev / mapper / luks-xxx-cokolwiek.
2. Uzyskaj identyfikator UUID woluminu, uruchamiając sudo pvs -o +vg_uuid. Uuid będzie wartością wyświetlaną do końca w prawo, zawierającą 7 wartości rozdzielanych myślnikiem. Skopiuj je gdzieś, bo będziemy ich używać w następnym kroku. NIE ZADAWALAJ UUIDÓW I KOPIUJMY ŹLE JEDEN. Skopiuj tylko ten dla bieżącego urządzenia / dev / mapper / luks-xxx-cokolwiek.
3. Zmień grupę woluminów na starym dysku, uruchamiając następujące polecenie sudo vgrename UUIDOFYOURDISKHERE oldhdMożesz zmienić „oldhd” na cokolwiek chcesz, o ile różni się ono od nazwy grupy woluminów na bieżącym dysku. Wykonanie tego kroku usuwa konflikt z nazwami grup woluminów, co pozwoli ci teraz udostępnić woluminy.
4. Uruchom polecenie, vgchange -a yaby aktywować woluminy.
5. Utwórz gdzieś folder dla punktu montowania, np .: sudo mkdir /media/<yourUserName>/someDir
6. Zamontować go: sudo mount /dev/oldhd/root /mnt/oldhd.
7. Po pracy z plikami powinieneś zmienić nazwę grupy woluminów na, ubuntu-vgjeśli chcesz, aby wolumin był nadal bootowalny.

Dla tych z nas, którzy nie chcą korzystać z narzędzia GUI nawet w celu ustalenia, która partycja jest szyfrowana.

• znajdź zaszyfrowane partycje

  lsblk -lf | grep LUKS
  

  -lżąda formatu „listy” - nie potrzebujemy, aby drzewo
  -fwyświetlało nam nazwę systemu plików
  , otrzymujemy coś podobnego

  sdc2 crypto_LUKS b09d6209-......

• odblokuj partycję, którą chcemy (w moim przypadku /dev/sdc2)

  udisksctl unlock -b /dev/sdc2
  

  -boznacza, że ​​podajemy ścieżkę do urządzenia blokującego
  po wprowadzeniu hasła otrzymujemy odpowiedź twierdzącą z niezbędnymi informacjami do następnego kroku:

  Unlocked /dev/sdc2 as /dev/dm-6

• zamontuj nowo utworzone urządzenie ( dmskrót od menedżera urządzeń )

  udisksctl mount -b /dev/dm-6
  

  Ponownie otrzymujemy odpowiedź twierdzącą z przydatnymi informacjami:

  Mounted /dev/dm-6 at /media/g/Data.

  ( gmoja nazwa użytkownika w tym systemie Datato etykieta, której użyłem dla tej partycji)

  Może się zdarzyć, że system / menedżer plików na pulpicie już automatycznie zamontował urządzenie lub robiłeś to wcześniej. Wtedy dostajesz coś takiego

  Error mounting /dev/dm-6: GDBus.Error:org.freedesktop.UDisks2.Error.AlreadyMounted: Device /dev/dm-6 is already mounted at '/media/g/Data'.

  Nie stanowi to problemu, mimo to możesz uzyskać dostęp do danych z zaszyfrowanej partycji.

• dostęp do danych: ls /media/g/Data

• odmontuj urządzenie ponownie (użyj tej samej nazwy, której użyłeś do montażu, polecenie to unmount, nie umount :-))

  udisksctl unmount -b /dev/dm-6
  

  Jeśli urządzenie nie jest zajęte, dostaniesz

  Unmounted /dev/dm-6.

• Teraz ponownie zablokuj partycję (musisz zapamiętać nazwę partycji)

  udisksctl lock -b /dev/sdc2
  

  Dostaniesz

  Locked /dev/sdc2.

• opcjonalnie wyłącz cały dysk zewnętrzny

  udisksctl power-off -b /dev/sdc
  

  W przypadku pulpitu graficznego może pojawić się tutaj błąd:

  Error powering off drive: The drive in use: Device /dev/sdc3 is mounted (udisks-error-quark, 14)

  W takim przypadku możesz użyć udisksctldo odmontowania partycji jeden po drugim, aż do osiągnięcia sukcesu. udisksctl power-offNie zwraca żadnych wiadomości.

Przeszedłem kilka ścieżek z poprzednich odpowiedzi i tylko kombinacja poprzednich odpowiedzi działała dla mnie. On to, co zrobiłem i co poszło dobrze, a co poszło nie tak i moje obejście.

Mam zaszyfrowany dysk twardy LUKS, który muszę zamontować z USB rozruchu na żywo dla Ubuntu 15.10 . Aby to zrobić, zacząłem od następującego polecenia:

udisksctl unlock -b /dev/sda3

gdzie sda3 jest zaszyfrowaną partycją. To polecenie nie działało ze mną i nie jestem pewien dlaczego, więc użyłem następującego polecenia:

sudo cryptsetup luksOpen /dev/sda1 my_encrypted_volume

działało ze mną i nie musiałem go instalować, ponieważ znajdowało się ono w bootie na żywo.

Teraz muszę zamontować HD, a to nie było proste: próbowałem:

sudo mkdir /media/my_device
sudo mount /dev/mapper/my_encrypted_volume /media/my_device

Ale drugie polecenie nie zadziałało ze mną i dlatego muszę znaleźć pracę, która jest następująca:

sudo udisksctl mount -b /dev/mapper/ubuntu--vg-root

To była moja ścieżka ... ale możesz użyć ścieżki, dev/mapper/ubuntua następnie podwójnej karty, aby zobaczyć resztę opcji. To zamontowało dysk twardy jako:

Mounted /dev/dm-1 at /media/root/03cf6b80-fa7c-411f-90b9-42a3398529ce

Następnie użyłem następującego polecenia, aby zamontować go /media/my_devicew następujący sposób:

sudo mount /dev/dm-1 /media/my_device/

co działało dobrze.

W podsumowaniu

sudo cryptsetup luksOpen /dev/sda1 my_encrypted_volume
sudo mkdir /media/my_device
sudo udisksctl mount -b /dev/mapper/ubuntu--vg-root
sudo mount /dev/dm-1 /media/my_device/

Możesz zamontować go w dwóch krokach, a ja mam przykładowy skrypt.

Uwaga: usługa udiskctl zainstaluje elementy pod / media, jest bardziej zaprojektowana dla użytkowników komputerów stacjonarnych instalujących pendrive'y. Jeśli chcesz zamontować urządzenie w innym miejscu, nie jest to rozwiązanie, którego szukasz.

Oto co wypracowałem. W tym przykładzie moje zaszyfrowane urządzenie jest partycją utworzoną za pomocą lvm, ale to tak naprawdę nie ma znaczenia. Jest to partycja w formacie ext4. W zaszyfrowanej formie mieszka w

/dev/myvg/opt1 

zaszyfrowana część jest „otwierana” (odszyfrowywana) w ten sposób

  STEP 1:  sudo cryptsetup luksOpen /dev/myvg/opt1 opt1_opened

(tutaj wpisujesz hasło)

ostatni argument jest tymczasowym odniesieniem do odszyfrowanego urządzenia blokowego. „Mapowanie” znika po ponownym uruchomieniu, więc możesz za każdym razem wybrać inną nazwę.

jest teraz widoczny jako urządzenie:

ls /dev/mapper
control  myvg-opt1  myvg-root  opt1_opened

Możesz zamontować to urządzenie: mamy teraz urządzenie ext4. Aby było to wygodne, dodaj wiersz w / etc / fstab

/dev/mapper/opt1_opened /opt1   ext4    noauto,users    0       0

i ustaw punkt montowania (w moim przypadku sudo mkdir /opt1:, a następnie skonfiguruj uprawnienia według własnego uznania) Jeśli użyłeś nazwy opt1_opened w kroku 1, to jest to drugi krok do zamontowania:

STEP 2: mount /opt1   #the fstab line lets users mount, so no need for sudo

i jest zamontowany.

Stąd skrypt bash:

#!/bin/bash
#needs to be run sudo
read -s -p "Enter LUKS password: " luks_password
printf $luks_password | cryptsetup luksOpen /dev/myvg/opt1 opt1_opened --key-file -
sudo -u tim mount /opt1

Prawidłowa odpowiedź to gio mount -d /dev/dm-x(brak sudo).

Poprzednie odpowiedzi wskazują na brak połączenia ze sposobem montowania Nautilus lub Nemo, ponieważ musisz wprowadzić hasło LUKS, nawet jeśli zostało wcześniej zapisane w pamięci podręcznej w breloku użytkownika z GUI. Korzystanie gioautomatycznie wykorzystuje hasło zapisane wcześniej przez Nautilus lub Nemo.

Aby uzyskać bardziej szczegółową odpowiedź, zobacz https://unix.stackexchange.com/questions/394320/what-command-does-nemo-use-to-mount-drives/536842#536842

Szukałem tego samego ...

Te mkdirkroki były moim powodem szukać dalej, również mam zmodyfikowane policykit, aby umożliwić mój użytkownik zamontować bez proszenia pierwszy dla passwd root i następnie do zaszyfrowanego hasła objętości, a więc sudotakże na zabicie.

Moim rozwiązaniem, które znalazłem, było użycie gvfs-mountz gvfs-binpakietu. Teraz gvfs-mount -d /dev/sda7mam pytanie tylko o zaszyfrowane hasło i jest ono zamontowane pod /media/VOLUME_LABEL.

Na moim Chromebooku z (crouton) Ubuntu Xenial 16.04 stwierdzam, że kiedy wydaje:

sudo cryptsetup luksOpen / dev / sda1 my_encrypted_volume

zgodnie z powyższym wpisem i wpisując moje hasło, otrzymuję komunikat „Brak klucza z tym hasłem”. Jednak przez przypadek znalazłem (i to bardzo dziwne!) Wszystko działa, gdy dodam „--debug” do polecenia cryptsetup! Jestem wtedy w stanie zamontować wolumin i uzyskać dostęp do plików.

Poproszenie menedżera plików Thunar o wykonanie wyników montażu „Brak uprawnień do wykonania operacji”. błąd. Nie jestem w stanie znaleźć sposobu na obejście tego, ale ponieważ mogę wykonać montowanie w wierszu poleceń, jest to w pewnym stopniu dopuszczalne.

Ok, więc mam działające rozwiązanie, jak wspomniano wcześniej, przyczyną mount: unknown filesystem type 'LVM2_member'błędu jest to, że domyślnie maszyna linux przypisuje tę samą nazwę VG do zewnętrznego dysku twardego, dlatego wszystkie partycje na zewnętrznym dysku twardym są nieaktywne.

Oto, co musisz zrobić:

1. odłącz zewnętrzny dysk twardy i zanotuj swój wewnętrzny VU UUID za pomocą ( sudo vgdisplay command),
2. teraz podłącz zewnętrzny dysk twardy i zmień nazwę grupy VG swojego ZEWNĘTRZNEGO HDD (nie wewnętrzny, spowoduje to uszkodzenie twojego urządzenia) ( vgrename UUID_Number [new-group]).
3. Sprawdź, czy nowa nazwa jest zaktualizowana w VGdiplay, teraz aktywuj nową VGroup ( vgchange [new_group] -a y), sprawdź, czy wszystkie partycje są aktywowane ( lvscan).
4. Teraz powinieneś zobaczyć wszystkie swoje partycje ls /dev/mapper/[new_group], wszystko co musisz zrobić, to zamontować partycję ( mount -t ext4 /dev/mapper/[new_group]-data /zez)