Recientemente instalé ubuntu server 11.04 con el cifrado lvm completo (instalado desde la configuración). Ahora deseo usar un archivo de clave para hacer el desbloqueo automático. He intentado seguir esta guía http://ubuntuforums.org/showthread.php?t=837416
Genere una clave con este comando: sudo dd if=/dev/urandom of=/boot/grub/keyfile bs=1024 count=4
Lo puse /boot/grub
porque creo que no está encriptado. Cuando trato de agregar la clave con este comando sudo cryptsetup luksAddKey /dev/sdX /boot/grub/keyfile
, me pide la frase de contraseña y cuando la pongo no pasa nada, ¡no se imprime nada en la pantalla! Lo ignoro y continúo con los otros pasos y reinicio, pero no pasó nada y pide la frase de contraseña.
Gracias por la ayuda .
encryption
lvm
luks
isoman
fuente
fuente
Respuestas:
Acabo de pasar por esto en mi nuevo servidor doméstico, me tomó mucho tiempo buscar en Google y adivinar, pero lo tengo funcionando. Intentaré reproducir los pasos aquí. Estoy usando Ubuntu Server 11.10, y comencé con una instalación bastante estándar usando LVM encriptado, así que solo relataré los cambios que hice desde allí.
Preparar:
Primero, creé un archivo de claves, solo en mi directorio de inicio:
(puede usar un tamaño de bloque más grande o contar para una clave más grande)
Dígale a cryptsetup la nueva clave (lo importante son los contenidos, no el nombre de archivo):
Luego, formateé mi unidad flash USB con ext2 y le di una etiqueta. Usé una etiqueta, para luego poder montarla por etiqueta y reemplazar la unidad flash USB en caso de que algo salga mal.
(por supuesto, su dispositivo variará)
Ahora, copie el archivo de claves en la unidad flash USB, propiedad del modo raíz 400:
Modifique / etc / crypttab. La mía contenía originalmente
que cambié a
Finalmente, actualice los initramfs:
Ahora se inicia utilizando el archivo de claves en la unidad flash USB. Si quito la unidad flash (por ejemplo, cuando me voy de vacaciones) no se inicia y mis datos están seguros.
Si alguien sabe cómo hacer que pida la frase de contraseña si falta la unidad flash USB, sería útil como alternativa. Espero que esto ayude, cualquier adición o corrección sería más que bienvenida.
fuente
keyscript=/lib/cryptsetup/scripts/passdev
le agregapassdev
script. Y luegoupdate-initramfs -uv
reconstruye el archivo del sistema de archivos.A start job is running for dev-sda8:-keyfile.device (1min 18s...)
etc. Pasa, todo está montado, pero se cuelga por un tiempo. El registro dice "Se agotó el tiempo de espera para el dispositivo dev-sda8: -sda7keyfile.device; la dependencia falló en la configuración de Crypto para sda7crypt". Por supuesto, ya lo montó initram, pero ... ¿Qué estoy haciendo mal?keyscript
campo por completo.Estas instrucciones de howtoforge.com me pusieron en marcha con un volumen de descifrado automático.
Cómo: Desbloquear automáticamente unidades cifradas LUKS con un archivo clave
Paso 1: crear un archivo de claves aleatorio
Paso 2: haga que el archivo de claves sea de solo lectura para rootear
Eso hará que el archivo de claves sea legible solo por root. Si alguien tiene acceso a este archivo de claves, de todos modos tiene un problema mayor en su computadora.
Alternativamente, cree el archivo de claves deseado en root: root y muévalo a la carpeta / root
Paso 3: agregue el archivo de claves a LUKS
Los dispositivos habilitados con LUKS / dm_crypt pueden contener hasta 10 archivos de claves / contraseñas diferentes. Entonces, además de tener la contraseña ya configurada, agregaremos este archivo de claves como método de autorización adicional.
SDX es, por supuesto, su dispositivo LUKS.
Primero se le pedirá que ingrese una contraseña (existente) para desbloquear la unidad. Si todo funciona bien, debería obtener una salida como esta:
Paso 4: crea un mapeador
Los dispositivos LUKS necesitan crear un mapeador al que luego se pueda hacer referencia en el fstab. Abra / etc / crypttab
y luego agregue una línea como esta:
o puede usar el UUID del dispositivo:
sdX_crypt es el nombre del mapeador que se está creando. Puede usar aquí cualquier nombre, por ejemplo, "música" o "películas" o "sfdsfawe" ...
Guarde y cierre el archivo emitiendo ctrl-x, enter, enter. Ctrl-x cierra nano pero primero pide guardar el archivo [yes = enter] y cuál será el nombre [mismo nombre = enter].
Lo que hemos hecho allí es decir que se usará / root / keyfile en lugar de la entrada de contraseña para desbloquear el disco.
Paso 5: monte el dispositivo en fstab
Ahora, tenemos un dispositivo desbloqueado (bueno, todavía no, pero cuando el sistema se está iniciando) y solo necesitamos montarlo ahora. Abra / etc / fstab:
y agregue una nueva entrada como:
Asegúrese de tener el nombre de mapeador correcto que agregó en el paso 4. También asegúrese de que exista el punto / carpeta de montaje. Después de haberlo agregado, guarde nuevamente el archivo y ciérrelo (ctrl-x, enter, enter).
Paso 6: reiniciar o volver a montar
Eso es. Ahora puede reiniciar y los dispositivos adicionales deben desbloquearse y montarse automáticamente. También puede probarlo al volver a montar todos los dispositivos:
fuente
initramfs
, 100% necesarioMejorando la respuesta de Randy Orrison , aquí hay un pequeño script que creé, que hará que el sistema recurra a pedirle una contraseña al usuario si no encuentra el archivo de claves.
Guardar y reemplazarlo
keyscript=/lib/cryptsetup/scripts/passdev
en/etc/crypttab
la ruta a este archivo y corrersudo update-initramfs -uv
y ya está.fuente
Startet AppArmor initialization.
obtener: Se está ejecutando un trabajo de inicio para dev-disk keyfile.device (1m 30s). Después de los años 90 se inicia X y puedo usar mi sistema ... ni idea de cómo solucionar este problema petición de Stop ...@deitch Tuve la misma configuración que @Randy Orrison y me encontré con el mismo problema que tú y resulta que es un error de systemd que intenta montar el sistema de archivos / nuevamente cuando encuentra la entrada correspondiente en / etc / crypttab.
Para resolver esto, simplemente eliminé la entrada para sda5_crypt de / etc / crypttab una vez que se ejecutó el comando update-initramfs -uv.
Reiniciar y todo funciona bien según lo previsto.
fuente