web-dev-qa-db-ja.com

LUKS暗号化、ドングルUSBドライブのヘッダー?

暗号化されたディスクを使用するために、LUKS/LVMの方法でLinuxをインストールします。

また、ヘッダーとパスフレーズをUSBキーに入れたいと思います。

したがって、パスフレーズを入力する代わりに、USBドライブドングルを接続するだけです。

それは可能ですか?

4
3pic

私は今まさにそのように動作するマシンから書いています。

  1. 最初に、ドングルに/bootフォルダー全体を配置する必要があります。
  2. キーファイルでディスクを暗号化し、キーファイルもブートドングルに入れます。
  3. /etc/crypttabを編集して、この行を追加します

    sda2_crypt UUID=14-88 /dev/disk/by-uuid/88-14:/rootfs.key     luks,keyscript=/lib/cryptsetup/scripts/passdev
    

ここで、sda2_cryptは任意の名前、最初のUUIDは暗号化されたルートパーティション、2番目はドングルパーティション、_rootfs.keyはキーファイル名です。

  1. その後、/etc/fstabを適宜更新します。
  2. ドングルを/bootとしてマウントし、update-initramfsを実行します

これで十分でしょう。別の手順ではカーネルブート引数を追加することをお勧めしますが、私の場合は機能しません。キーファイルの代わりにパスワードを使用する場合は、/etc/crypttabを編集してupdate-initramfsを実行します。

3
Barafu Albino