Mount LUKS ha crittografato il disco rigido all'avvio

19

Ho Xubuntu 14.04 su un dispositivo SSD (la HOME è stata crittografata correttamente durante l'installazione), inoltre ho un HDD con una partizione crittografata con dati extra che vorrei installare in / mnt / hdd . Per fare ciò ho seguito i seguenti passi:

(In precedenza avevo crittografato il disco con LUKS seguendo questo post link )

Controlla l'UUID

sudo blkid 
/dev/sda1: UUID="b3024cc1-93d1-439f-80ce-1b1ceeafda1e" TYPE="crypto_LUKS"

Crea un file chiave con la passphrase corretta e salvalo nella mia HOME (anch'essa crittografata).

sudo dd if=/dev/urandom of=/home/[USERNAME]/.keyfiles/key_luks bs=1024 count=4
sudo chmod 0400 .keyfiles/key_luks

Aggiungi la chiave

sudo cryptsetup luksAddKey /dev/sda1 /home/zeugor/.keyfiles/key_luks

Nuova voce in / etc / crypttab

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e /home/[USERNAME]/.keyfiles/key_luks luks

Aggiorna il ramdisk iniziale

sudo update-initramfs -u -k all

Quindi, per testarlo, ho usato il comando follow per avviare cryptdisks:

sudo cryptdisks_start hddencrypted 
 * Starting crypto disk...                                                       
 * hddencrypted (starting)..
 * hddencrypted (started)... 

Per controllare hddencrypted è stato mappato:

ls /dev/mapper/
control  hddencrypted

Crea un punto di montaggio

mkdir /mnt/hdd

Nuova voce in / etc / fstab

/dev/mapper/hddencrypted /mnt/hdd ext4 defaults 0 2

Convalidare fstab senza riavviare:

sudo mount -a

Monta la partizione crittografata all'avvio

Ora l'ho montato in / mnt / hdd come ho proposto. Ma mi piacerebbe farlo automaticamente dopo il riavvio. Ma prima di poter accedere, ottengo questo errore:

the disk drive for /mnt/hdd is not ready yet or not permit

Tutto ciò mi fa pensare che / etc / crypttab non può accedere al file di chiavi che si trova nella mia HOME (altra partizione crittografata). Non conosco l'ordine che il sistema segue per non crittografato e monta le unità. La mia HOME non deve essere crittografata prima del mio HDD per consentire l'accesso alla lettura del file di chiavi.

Gradirei qualsiasi idea sul perché questo accada.

UPDATE: Se trovo il file di chiavi in ​​ / boot (non crittografato), invece che nel mio / home / [USERNAME] (crittografato) / dev / sda1 e aggiorna la voce in / etc / crypttab è perfettamente montata all'avvio.

    
posta zeugor 19.04.2014 - 22:26

3 risposte

6

Un file chiave nella directory / boot può essere letto da qualsiasi altro sistema operativo avviato sul computer che è in grado di montare il filesystem su quello / boot che si trova. Pertanto, la crittografia non è veramente efficace. Questo argomento si applica a tutte le posizioni dei file chiave su file system non crittografati.

Per evitare file chiave su file system non crittografati, è possibile utilizzare una password per la decrittografia. Crea una password complessa per il dispositivo. Quindi, cambia la linea in / etc / crypttab in

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e none luks

e mantenere la voce in / etc / fstab non modificata. Ubuntu 14.04 ti chiede la password all'avvio.

    
risposta data Dominik Grether 25.10.2014 - 12:05
3

Funziona se si sostituiscono "default" in fstab con

rw,suid,dev,exec,auto,user,async,relatime

(Secondo la mount pagina man, è lo stesso di "default" ad eccezione di "utente". )

    
risposta data solt87 04.08.2014 - 17:51
0

Assicurati che la partizione hddencrypted sia elencata dopo la partizione home, in /etc/fstab e /etc/crypttab . Come afferma la pagina di manpage crypttab (5) :

  

L'ordine dei record in          crypttab è importante perché gli script di init eseguono l'iterazione in sequenza tramite crypttab          la loro cosa.

Potresti anche provare ad aggiungere l'opzione noearly alla seconda partizione in /etc/crypttab :

hddencrypted UUID=<...> /home/[USERNAME]/.keyfiles/key_luks luks,noearly

In una situazione normale, potresti indicare che la partizione home deve essere montata per prima aggiungendola a CRYPTDISKS_MOUNT in /etc/default/cryptdisks , ma poiché è essa stessa crittografata, ho la sensazione che non sarebbe una buona idea.

    
risposta data Aryeh Leib Taurog 06.08.2014 - 23:14

Leggi altre domande sui tag