Как добавить модуль в initramfs ?

[pivnoy-tsar]

Собственно. Нужно в initramfs добавить модуль для работы с TPM, с помощью которого разблокируется зашифрованный корневой раздел.

История.Сделал зашифрованный luks корень. Забил в tpm открывашку посредством systemd-cryptenroll. Нужно чтоб система загружаясь без ввода паролей.
В etc/crypttab прописал:
<имя тома>    UUID=<ууид зашифрованного раздела>    tpm2-device=auto      luks
Делаю #update-initramfs -u. В ответ -... keyfile 'tpm2-device=auto' not found
То есть утилита почему-то думает что "tpm2-device=auto" это указание на файл ключа, а не указание на tpm-устройство. Это потому что нет модуля для tpm в initramfs?
Видимо для начала я должен как-то изменить initramfs (initrd.img), ну чтоб в нём хотя бы был модуль для работы tpm.
А как и что добавить?  Надо что-то прописать в  /etc/initramfs-tools/modules ? Но что? и где бинарник этого модуля искать, и куда вставлять?
 

[ALiEN]

почему-то думает что "tpm2-device=auto" это указание на файл ключа, а не указание на tpm-устройство.

А с чего бы там устройство было бы?
https://www.freedesktop.org/software/systemd/man/latest/crypttab.html

Each line is in the form
volume-name encrypted-device key-file options

Пользователь добавил сообщение 24 Февраля 2025, 18:58:53:

Код: [Выделить]

<имя тома>    UUID=<ууид зашифрованного раздела>    none    tpm2-device=auto,luks

[pivnoy-tsar]

ALiEN
С Вашим вариантом заполнения crypttab пробывал. #update-initramfs -u отвечает:
cryptsetup: WARNING: <имя тома>: ignoring unknown option 'tpm2-device'
То-есть update-initramfs ничего не знает о tpm, потому что в initrd.img нет модуля для него ?

Первый вариант заполнения crypttab я выбрал потому, что он уже у меня работал. Но в другом случае: для расшифровки побочного, не корневого раздела. Т.е. срабатывал уже после загрузки корня и системы, без нужды править initramfs.

Сейчас глянул кое-что:
#lsinitramfs не выводит ничего со словом "tpm".
#lsmod выводит одну строку "tpm_crb  20480  0". Это и есть модуль который надо засунуть в initramfs ?

[ALiEN]

пакет tpm2-initramfs-tool установлен?

[pivnoy-tsar]

установил. Попробывал update-initramfs с обоими вариантами заполнения crypttab.
Ответы те же самые ((

[F12]

Когда-то давно, кажется ещё во времена Ubuntu 12.04, делал такой финт: в /etc/initramfs-tools/conf.d/resume вбивал RESUME=UUID=<ууид зашифрованного раздела> и уже затем sudo update-initramfs -u

[ALiEN]

Код: [Выделить]

grep -Ev '^#|^$' /etc/initramfs-tools/initramfs.conf?

[pivnoy-tsar]

F12, добавил сей файл. Никаких изменений. Update-initramfs всё так же не понимает назначения фразы "tpm2-device=auto".
А вы не помните что у Вас было написано в crypttab  ?
У нас тут уже 2 варианта
<том>   <раздел>   tpm2-device=auto luks          и
<том>   <раздел>   none   tpm2-device=auto,luks

ALiEN
MODULES=most
BUSYBOX=auto
KEYMAP=n
COMPRESS=zstd
DEVICE=
NFSROOT=auto
RUNSIZE=10%
FSTYPE=auto

[ALiEN]

Код: [Выделить]

ls /sys/firmware/efi
systemd-analyze has-tpm2?

[pivnoy-tsar]

ALiEN,
# ls /sys/firmware/efi
config_table  efivars  esrt  fw_platform_size  fw_vendor  runtime  runtime-map  systab
# systemd-analyze has-tpm2
Unknown command verb has-tpm2.

На всякий случай.
#systemd-cryptenroll --tpm2-device=list
PATH        DEVICE      DRIVER
/dev/tpmrm0 MSFT0101:00 tpm_crb
И слот с открывашкой в tpm - забился.

[ALiEN]

Код: [Выделить]

cat /sys/class/tpm/tpm*/device/description?

[pivnoy-tsar]

d# cat /sys/class/tpm/tpm*/device/description
TPM 2.0 Device

[ALiEN]

Пробуйте

[Peter_I]

Так есть /etc/intramfs-tools и образец /usr/share/initramfs-tools, я когда-то давно пробовал так добавлять, но не помню что и получилось ли.

[pivnoy-tsar]

ALiEN сделал всё так в статье. Ну ток раздел свой подставил.
Перед обновлением initramfs:
Строку в crypttab вернул в изначальное состояние: "том раздел none luks", и удалил слот созданный systemd-cryptenroll.

# systemd-cryptenroll /dev/nvme0n1p2
SLOT TYPE
   0 password (пароль созданный при установке системы)
   1 other (ну это клевис прописался очевидно)
Даже # lsinitramfs показал строки с tpm. Стало быть initramfs получил модули.

Всё равно при перезагрузке просит пароль от раздела ((. Чего то не хватает..