Автоматическое монтирование шифрованного раздела после авторизации

[demonlibra]

HDD разбит на три части.

Код: [Выделить]

Устр-во    Загрузочный    Start Конец Секторы   Size Id Тип
/dev/sda1  *               2048  61441501  61439454  29,3G 83 Linux
/dev/sda2              61442048  65538047   4096000     2G 82 Linux своп / Solar
/dev/sda3              65538048 976773119 911235072 434,5G 83 Linux
Зашифровал домашнюю папку.
Зашифровал раздел sda3 при помощи cryptsetup. Использовал пароль тот же что и для пользователя.
Вручную раздел монтируется.

Внес изменения в файлы
/etc/crypttab

Код: [Выделить]

data UUID=9fb9df5d-3b33-43ff-b81d-8faed6c2c28c luks/etc/fstab

Код: [Выделить]

/dev/mapper/data /mnt/sys/data ext4 defaults 0 0
При этом появляется запрос пароля для расшифровки раздела до авторизации пользователя.

Как сделать так чтобы монтирование шифрованного раздела выполнялось автоматически после авторизации без запроса пароля?
Я так понимаю, что необходимо использовать файл-ключ, помещенный в шифрованную домашнюю папку.
Как создать и добавить ключ к разделу нашел

Код: [Выделить]

sudo dd if=/dev/urandom of=/tmp/data1.key bs=256 count=1
sudo cryptsetup luksAddKey /dev/sda3 /tmp/data1.keyА что делать дальше?
ТС не появлялся на Форуме более трех месяцев по состоянию на 05/12/2019 (последняя явка: 13/06/2019). Модератором раздела принято решение закрыть тему.
--zg_nico

[Heider]

В любой скрипт, который работает после авторизации. В ~/.bashrc, например.
Пользователь добавил сообщение 02 Февраля 2017, 11:42:25:Ну и в параметрах монтирования в файле /etc/fstab, разумеется, noauto.

[demonlibra]

Код: [Выделить]

sudo cryptsetup luksOpen /dev/sda3 data
sudo mount /dev/mapper/data /mnt/sys/data
Этот скрипт надо будет запускать от root, а значит еще раз вводить тот же пароль. Или я ошибаюсь?

[Heider]

Вручную раздел монтируется.

Вы когда вручную раздел монтируете, тоже ведь от рута?

[demonlibra]

Конечно вручную то же от root. Поэтому и тему создал после дня поисков решения автоматического монтирования.
Вводить два раза один и тот же пароль при запуске не хочется. Хочется чтобы расшифровка проходила незаметно как и с домашней папкой.

Можете дать комментарий про опцию noauto в /etc/fstab?
Возможно для монтирования использовать systemd?

[Heider]

noauto - не монтируется при загрузке. Только настройка монтирования.

[demonlibra]

Если в /etc/fstab написать так

Код: [Выделить]

/dev/mapper/data /mnt/sys/data ext4 defaults,noauto 0 0то как потом монтировать этот раздел?

noauto можно использовать так же в /etc/crypttab

Код: [Выделить]

data UUID=9fb9df5d-3b33-43ff-b81d-8faed6c2c28c /home/user/data.key luks,noauto
Есть ли скрипты, которые система выполняет самостоятельно от имени root после авторизации пользователя? Можно было бы вписать туда команды монтирования с использованием ключа, расположенного в зашифрованной папке пользователя.

[Heider]

Код: [Выделить]

sudo mount -a

[demonlibra]

Уверены? Может и делаю что-то ни так, но не работает и в документации написано:

mount -a [-t type] [-O optlist]

... causes all filesystems mentioned in fstab ... to  be  mounted as indicated, except for those  whose line contains the noauto keyword.

Написано монтировать всё кроме строк содержащих ключ noauto.

В /etc/fstab написал:

Код: [Выделить]

/dev/mapper/data /mnt/sys/data ext4 noauto,user,rw,exec 0 0Ключ user разрешает выполнять монтирование без прав root командой:

Код: [Выделить]

mount /dev/mapper/dataЭто можно и в автозапуск вписать. Ещё бы что-нибудь с /etc/crypttab сделать.

[Heider]

Написано монтировать всё кроме строк содержащих ключ noauto.

Да, ты прав. Тогда укажи явно:
sudo mount /dev/mapper/data

[demonlibra]

Это я уже в предыдущем сообщении написал. А с ключом user можно и без sudo обойтись.
Вот только с /etc/crypttab это вопрос не решает. Пока не разобрался, как запускать подключение раздела, если в /etc/crypttab указать noauto.

Куда бы команды вписать, чтобы они автоматически выполнялись от имени root при авторизации? Ключ положу в домашнюю шифрованную папку.
Пробовал в /etc/rc.local - не работает.

[demonlibra]

Если в /etc/crypttab указать noauto, то подключение можно выполнить командой

Код: [Выделить]

sudo cryptdisks_start dataНо без ввода пароля не обойтись. Так что вариант не годится.

С systemd не знаю что вписать в

Код: [Выделить]

[Install]
WantedBy=чтобы запуск выполнялся после расшифровки домашней папки.

[demonlibra]

Помощи не дождался и не нашёл другого способа кроме как открыть дыру в sudoers.

(Нажмите, чтобы показать/скрыть)

Зашифровал домашнюю папку. Зашифровал раздел (не системный) при помощи cryptsetup. Ключ от раздела поместил в домашнюю папку. Подключение шифрованного раздела выполняется только при авторизации определенного пользователя (в примере ниже myuser).

Зашифровал раздел sda3
Добавил ключевой файл:

Код: [Выделить]

dd if=/dev/urandom of=/home/myuser/data.key bs=256 count=1
cryptsetup luksAddKey /dev/sda3 /home/myuser/data.key
Показать список используемых ключей можно командой:

Код: [Выделить]

cryptsetup luksDump /dev/sda3Проверить ключ можно командой:

Код: [Выделить]

cryptsetup -d /home/myuser/data.key luksOpen /dev/sda3 data

Код: [Выделить]

sudo nano /etc/crypttabдобавил строку

Код: [Выделить]

data /dev/sda3 /home/myuser/data.key luks,noauto

Код: [Выделить]

sudo nano /etc/fstabдобавил строку

Код: [Выделить]

/dev/mapper/data /mnt/sys/data ext4 defaults,noauto,user 0 0

создал каталоги и назначил права

Код: [Выделить]

sudo mkdir /mnt/sys
sudo mkdir /mnt/sys/data
Открыл дыру в sudoers для утилиты cryptdisks_start

Код: [Выделить]

sudo visudoдобавил строку под # Cmnd alias specification

Код: [Выделить]

Cmnd_Alias DATA_MOUNT = /usr/sbin/cryptdisks_start
И в конец файла дописал строку

Код: [Выделить]

имя_пользователя ALL=(ALL) NOPASSWD: DATA_MOUNT

создал скрипт и поставил в автозапуск

Код: [Выделить]

nano /home/myuser/data_mount.sh

Код: [Выделить]

#!/bin/sh
sudo cryptdisks_start data
mount /dev/mapper/data

[demonlibra]

Нашел способ обойтись без sudoers при помощи сервиса systemd.

Создаем скрипт

Код: [Выделить]

sudo nano /usr/bin/mount_data.sh

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/sh

while [ ! -L "/dev/mapper/data" ]
do
if [ -f "/home/myuser/data.key" ]
then
echo "data not mounted"
echo "key is avalible"
echo "start to encrypt"
cryptdisks_start data
mount /dev/mapper/data
fi

sleep 1
done

Создаем сервис systemd

Код: [Выделить]

sudo nano /etc/systemd/system/mountdata.service

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

[Unit]
Description=mount data
After=network.target

[Service]
Type=oneshot
ExecStart=/bin/bash '/usr/bin/mount_data.sh'

[Install]
WantedBy=multi-user.target

Для проверки

Код: [Выделить]

sudo systemctl daemon-reload
sudo systemctl restart mountdata
Для отображения состояния

Код: [Выделить]

sudo systemctl status mountdata
Для добавления в автоматический запуск при включении ПК

Код: [Выделить]

sudo systemctl enable mountdata