Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: encrypted fs with keyfile on usb-stick  (Прочитано 1664 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн alter.pub

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
encrypted fs with keyfile on usb-stick
« : 06 Апреля 2013, 22:35:57 »
Всем привет, проблема следующая при загрузке шифрованный диск должен расшифровываться использую ключ на usb флешке, но почему-то не получается, поможете разобраться ?

В наличии домашний сервак с ubuntu server 12.04.2 LTS
2 раздела:
  • sda1 /boot
  • sda2 /

sda2 был при установке зашифрован,
внутри lvm-разделы(/, swap, home, /var/log)
С паролем введенным руками расшифровывается на ура.

Что делал далее:
  • mount /dev/disk/by-label/arch-key /mnt/
  • ls -la /mnt/keyfile
    -rw-r--r-- 1 root root 10240 марта 29 16:33 /mnt/keyfile
  • cryptsetup luksDump /dev/sda2
    Key Slot 0: ENABLED
    Key Slot 1: DISABLED
  • cryptsetup luksAddKey /dev/sda2 /mnt/keyfile
  • cryptsetup luksDump /dev/sda2
    Key Slot 0: ENABLED
    Key Slot 1: ENABLED
    Видим что слот стал занятым
  • edit /etc/default/grub
    GRUB_CMDLINE_LINUX="cryptdevice=/dev/sda2:srvlvm /dev/mapper/srvlvm-srvlvmroot cryptkey=/dev/disk/by-label/arch-key:ext4:/keyfile apparmor=0 selinux=0"
  • update-grub
  • grep cryptkey /boot/grub/grub.cfg
       linux   /vmlinuz-3.5.0-23-generic root=/dev/mapper/srvlvm-srvlvmroot ro cryptdevice=/dev/sda2:srvlvm /dev/mapper/srvlvm-srvlvmroot cryptkey=/dev/disk/by-label/arch-key:ext4:/keyfile apparmor=0 selinux=0
    удостоверился что пункт 7 сработал.
  • reboot

при загрузке просит пасс
профита нет =(
« Последнее редактирование: 06 Апреля 2013, 23:35:40 от alter.pub »

Оффлайн rayanAyar

  • Старожил
  • *
  • Сообщений: 1027
  • Да пребудет с вами совпавшая контрольная сумма
    • Просмотр профиля
Re: encrypted fs with keyfile on usb-stick
« Ответ #1 : 07 Апреля 2013, 05:33:03 »
В такое виде (через пробел) указывать опции cryptsetup в параметрах ядру нельзя. Это синтаксис файла crypttab. Нужно указать в нём и выполнить "update-initramfs -u". И кстати в опциях всё-таки что-то напутано - насколько я знаю, /dev/mapper/srvlvm-srvlvmroot здесь указывать не надо.

P.S.
А если указывать в параметрах ядра - нужно указывать опцию "cryptopts=", и параметры через запятую.
/usr/share/doc/cryptsetup/README.initramfs.gz

Оффлайн alter.pub

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: encrypted fs with keyfile on usb-stick
« Ответ #2 : 08 Апреля 2013, 00:36:23 »
Спасибо за подсказку, убрал все лишнее из grub.conf, добавил файл /etc/initramfs-tools/scripts/local-top/luks_key_mount с содержимым:
#!/bin/sh

case $1 in
prereqs)
     exit 0
     ;;
esac

. /scripts/functions

log_begin_msg "Decrypting root filesystem using a key file."
wait_for_udev
/bin/sleep 7
mkdir /key
/bin/mount -t ext4 /dev/sdb1 /key
/sbin/cryptsetup luksOpen /dev/sda2 crypt_sda2 --key-file /key/keyfile
log_end_msg

if [ ! -b /dev/mapper/srvlvm-srvlvmroot ]
then
  panic "
Welcome to Linux command prompt.
"
fi
exit 0

дал ему права на исполнение, и обновил initramfs.

после чего ребут и счастье есть !

 

Страница сгенерирована за 0.073 секунд. Запросов: 25.