it-swarm.com.de

Mounten Sie die LUKS-verschlüsselte Festplatte beim Booten

Ich habe Xubuntu 14.04 auf einem SSD-Gerät (das HOME wurde während der Installation korrekt verschlüsselt), zusätzlich habe ich eine Festplatte mit einer verschlüsselten Partition mit zusätzlichen Daten, die ich einhängen möchte in /mnt/hdd . Um diese zu machen, folgte ich den nächsten Schritten:

(Vorher hatte ich die Festplatte mit LUKS nach diesem Beitrag verschlüsselt http://www.marclewis.com/2011/04/02/luks-encrypted-disks-under-ubuntu-1010/ )

Überprüfen Sie die UUID

Sudo blkid 
/dev/sda1: UUID="b3024cc1-93d1-439f-80ce-1b1ceeafda1e" TYPE="crypto_LUKS"

Erstellen Sie eine Schlüsseldatei mit der richtigen Passphrase und speichern Sie sie in meinem HOME (das auch verschlüsselt ist ).

Sudo dd if=/dev/urandom of=/home/[USERNAME]/.keyfiles/key_luks bs=1024 count=4
Sudo chmod 0400 .keyfiles/key_luks

Füge den Schlüssel hinzu

Sudo cryptsetup luksAddKey /dev/sda1 /home/zeugor/.keyfiles/key_luks

Neuer Eintrag in/etc/crypttab

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e /home/[USERNAME]/.keyfiles/key_luks luks

Aktualisiere die ursprüngliche RAM-Disk

Sudo update-initramfs -u -k all

Zum Testen habe ich dann den Befehl follow verwendet, um cryptdisks zu starten:

Sudo cryptdisks_start hddencrypted 
 * Starting crypto disk...                                                       
 * hddencrypted (starting)..
 * hddencrypted (started)... 

So überprüfen Sie, ob HD-verschlüsselt zugeordnet wurde:

ls /dev/mapper/
control  hddencrypted

Einen Einhängepunkt erstellen

mkdir /mnt/hdd

Neuer Eintrag in/etc/fstab

/dev/mapper/hddencrypted /mnt/hdd ext4 defaults 0 2

Validiere fstab ohne Neustart:

Sudo mount -a

Hängen Sie die verschlüsselte Partition beim Booten ein

Jetzt habe ich es in/mnt/hdd gemountet, wie ich es vorgeschlagen habe. Aber ich würde das gerne automatisch nach dem Neustart machen. Bevor ich mich einloggen kann, erhalte ich folgende Fehlermeldung:

the disk drive for /mnt/hdd is not ready yet or not permit

All dies lässt mich denken, dass /etc/crypttab nicht auf die Schlüsseldatei zugreifen kann, die sich in meinem HOME (befindet. andere verschlüsselte Partition). Ich kenne die Reihenfolge nicht, in der das System die Einheiten unverschlüsselt und montiert. Mein HOME sollte vor meiner Festplatte unverschlüsselt sein, damit der Zugriff zum Lesen der Schlüsseldatei möglich ist.

Ich würde mich über einen Einblick darüber freuen, warum dies geschieht.

UPDATE: Wenn ich die Schlüsseldatei in /boot finde (nicht verschlüsselt), anstatt in meinem /home/[USERNAME] (verschlüsselt) das /dev/sda1 und aktualisiere den Eintrag in /etc/crypttab ist beim Booten perfekt eingebunden.

24
zeugor

Eine Schlüsseldatei im Verzeichnis/boot kann von jedem anderen Betriebssystem gelesen werden, das auf Ihrem Computer gestartet wurde und das in der Lage ist, das Dateisystem in das Verzeichnis/boot einzuhängen. Daher ist die Verschlüsselung nicht wirklich effektiv. Dieses Argument gilt für alle Speicherorte von Schlüsseldateien in unverschlüsselten Dateisystemen.

Um Schlüsseldateien auf unverschlüsselten Dateisystemen zu vermeiden, kann ein Kennwort zur Entschlüsselung verwendet werden. Erstellen Sie ein sicheres Kennwort für das Gerät. Ändern Sie dann die Zeile in/etc/crypttab in

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e none luks

und den Eintrag in/etc/fstab unverändert lassen. Ubuntu 14.04/16.04/18.04 fragt Sie beim Start nach dem Passwort.

9
Dominik Grether

Funktioniert es, wenn Sie "Defaults" in fstab durch ersetzen?

rw,suid,dev,exec,auto,user,async,relatime

(Laut der mount Manpage ist es dasselbe wie "Defaults" mit Ausnahme von "user".)

6
solt87

Stellen Sie sicher, dass die verschlüsselte Partition nach der Ausgangspartition in /etc/fstab und /etc/crypttab aufgeführt ist. In der Manpage crypttab (5) heißt es:

Die Reihenfolge der Datensätze in crypttab ist wichtig, da die Init-Skripte nacheinander durch crypttab iterieren, um ihre Sache zu erledigen.

Sie können auch versuchen, die Option noearly zu der letzteren Partition in /etc/crypttab hinzuzufügen:

hddencrypted UUID=<...> /home/[USERNAME]/.keyfiles/key_luks luks,noearly

In einer normalen Situation können Sie angeben, dass die Home-Partition zuerst gemountet werden muss, indem Sie sie zu CRYPTDISKS_MOUNT in /etc/default/cryptdisks hinzufügen. Da sie jedoch selbst verschlüsselt ist, ist dies keine gute Idee .

1