複数のLUKSデバイスのロックを解除して起動時にLVMを形成することは可能ですか?
次の設定があります。LVMを使用して一般的なLinuxパーティション(/、/ home /など)を形成するLUKS暗号化SSD。この設定は、起動時にパスワードによってロック解除されます。私はDebianJessieを使用しています。
スペースが不足しているため、LVMに別のPVを追加したいと思いました。もちろん、最初のPVからの鍵導出を使用するか、最初のPVと同じパスワードを使用して、起動時にLUKSで暗号化および復号化する必要があります。
これは、LVM(/、/ home /などを含む)が2つのLUKS暗号化SSDにまたがることを意味します(もちろん、各SSDには、SSD自体ではなく、実際に暗号化された1つのパーティションが含まれますが、これは明らかだと思います)。
Systemdが統合されているため、起動時にこの種のセットアップのロックを解除することは不可能のようです-見つかったすべての命令は、起動時にキー導出スクリプトが実行されなくなったため、Systemdでは実行できないキー(またはその他)を導出します(または命令)失敗するだけです)。
誰かがこれが実際に機能するかどうか、そしてどのように機能するかを知っていますか?
それ以外の場合は、セットアップを変更して、(LVMの外部に)個別のルートパーティションを作成し、残りを起動後にマウントできるようにするか、lvm内にラックを配置する必要があります。しかし、どちらも私が選択したい最後のオプションです。
どうも!
方法1Systemdは* buntuデスクトップに実装されているため、追加のLUKSパーティションをすべてロック解除することがわかりましたif
- ロックを解除するすべてのパーティションは同じパスワードを使用します
- 初めてルートパーティションのパスワードを正しく入力します。間違えた場合は、他のすべてのLUKSパーティションに再度入力する必要があります
これはUbuntuServer16.04では機能しません
方法2gnome-disk-utility(GUI)アプリを使用する...
- 暗号化されたLUKSパーティションを選択します
- 歯車ボタンをクリックします(追加のパーティションオプション)
- 暗号化オプションの編集
- 自動暗号化オプションを無効にする
- 起動時にロック解除を有効にする
- (オプション)名前を変更します。これにより、ロックされていないパーティションが/ dev/mapper /の下にラベル付けされます。
- パスフレーズを入力します。ユーティリティは、この方法で設定したパーティションごとに/ etc/luks-keys /にキーファイルを作成します
- (オプション)ロック解除されたパーティションを手動で、またはディスクユーティリティを使用してfstabに追加します
- update-initramfs(これが必要かどうかはわかりません)
- update-grub
方法3keyutilsを使用します。
私はこれをテストしていません。から https://www.redpill-linpro.com/techblog/2016/08/12/btrfs-and-encryption.html
- 暗号化された両方のボリュームに同じパスフレーズを使用します。
- 新しくインストールしたシステムを起動します。
~# apt-get install keyutilsそして、keyscript = decrypt_keyctlオプションを/ etc/crypttabにリストされている両方の暗号化されたボリュームに追加します。- 次に発行:
~# update-initramfs -u -k allkeyutilsを含むようにinitramfsを更新します。 - 次に、再起動して、入力したパスフレーズがキャッシュされ、暗号化された両方のボリュームのロックを解除するために使用されることを確認します。