web-dev-qa-db-ja.com

パスフレーズが指定されていない場合に暗号化されたボリュームが起動に失敗しないようにする方法

私のdebianスクイーズマシンに暗号化されたパーティションを設定するとき、すべてがとても簡単でした。いくつかのハウツーに従い、cryptsetupを使用して、/ homeと/ srvを保持する暗号化されたパーティションを作成しました。システム自体(ルートマウントポイントとブート)は暗号化されていません。

起動時の動作は次のとおりです。

  • システムは、暗号化されたパーティションのパスフレーズを要求します。
  • 正しく入力すると、システムが起動し、fstabに記載されているようにパーティションがマウントされました。
  • 省略したり、falseを3回入力したりすると、システムはマルチユーザーモードで起動し、後でパーティションを手動でロック解除してマウントすることができます。

いくつかの更新とアップグレードを行った後(現在はジェシーです)、動作が変更されました。パスフレーズが省略されているか、正しく指定されていない場合、システムは「緊急モード」で起動し、ルートパスワードを要求します。

私はそれでいくつかのグーグルを試しました、しかし私が見つけたものは何でもこれを変えませんでした。パスフレーズを正しく入力する必要があります。そうしないと、起動に失敗します。マシンは通常、Windows以外の環境を十分に知っている人がいない遠隔地で動作するため、これは望ましくありません。

:# uname -a

Linux cypher 3.16.0-4-686-pae #1 SMP Debian 3.16.7-ckt11-1+deb8u3 (2015-08-04) i686 GNU/Linux

:# cat /etc/fstab

UUID=3c3fb5a8-ec8c-49d4-a36c-d3a39d321f49 /  ext3          user_xattr,errors=remount-ro 0  1
/dev/mapper/sda3_crypt  /home                ext4          usrquota,grpquota,user_xattr 0  2
/dev/mapper/sda4_crypt  /srv                 ext4          usrquota,grpquota,user_xattr 0  2
/dev/sda2               none                 swap          sw                           0  0
/dev/sr0                /media/cdrom0        udf,iso9660   user,noauto                  0  0

:# cat /etc/crypttab

sda3_crypt UUID=a89934ba-d90c-415d-b021-05be84995e8b none nofail
sda4_crypt UUID=4134177b-5622-4cef-9844-c83efad8d029 none nofail

Crypttabのさまざまなオプションを試してみると、私はいつも

update-initramfs -u -k all

次の起動を試みる前に。これが必要かどうかさえわかりません。

「古い」振る舞いを成し遂げるために何をしなければならないのかわからないので、誰かが私に何を探しているのか教えてくれたら嬉しいです。

StackAbstractionのコメントに対処するには:暗号化されていないスワップパーティションは、最近のエラーの結果です。最初は暗号化されていました。なんらかの理由で、突然ロック解除を拒否し、起動に失敗しました。再フォーマットして暗号化を設定した後は、すべて問題がなかったはずですが、そうではありませんでした。起動するたびに、「LVMがありません」というメッセージが表示され、システムに再びアクセスするには、レスキューから起動する必要がありました。

私はこれを解決できませんでした。暗号化の理由は、物理デバイスがサーバールームから盗まれた場合に保存されたデータを保護するように設計されているため、それほどリスクは高くないようです。これは、ルートパーティションを保護しない理由でもあります。保護するデータは、暗号化されたパーティションにのみ保存されます。

コメントは、しかし、与えられた質問を指していませんでした。私は現在、暗号化されていないスワップとルートパーティションの潜在的なリスクを認識しています。起動時にボリュームグループのパスワードが要求されない場合を除いて、パスワードが指定されていない場合、ボリュームグループに切り替えると起動失敗の問題がどのように解決されるかわかりません(これは望ましい動作ではありません)-私はしませんこれが本当かどうかを知っています。

linuxbootdebianencryption
2
M. Uster

nobootwait フラグを暗号化されたパーティションの fstab エントリに追加してみてください。

1
Ryan Gooler

実際には、nofailにはfstabオプションもあるので、次のようにする必要がありますboth cryptabを復号化に失敗させ、次にfstabをマウントに失敗させます。

/dev/mapper/sda3_crypt  /home  ext4  usrquota,grpquota,user_xattr,nofail 0  2
/dev/mapper/sda4_crypt  /srv   ext4  usrquota,grpquota,user_xattr,nofail 0  2
0
redanimalwar