Monte el disco duro cifrado LUKS al arrancar

19

Tengo Xubuntu 14.04 en un dispositivo SSD (el INICIO fue encriptado correctamente durante la instalación), adicionalmente tengo un disco duro con una partición cifrada con datos adicionales que me gustaría montar en / mnt / hdd . Para hacer esto, seguí los próximos pasos:

(Anteriormente había cifrado el disco con LUKS después de esta publicación enlace )

Comprobar el UUID

sudo blkid 
/dev/sda1: UUID="b3024cc1-93d1-439f-80ce-1b1ceeafda1e" TYPE="crypto_LUKS"

Cree un archivo de clave con la frase de contraseña correcta y guárdela en mi INICIO (que también está encriptada).

sudo dd if=/dev/urandom of=/home/[USERNAME]/.keyfiles/key_luks bs=1024 count=4
sudo chmod 0400 .keyfiles/key_luks

Agregar la clave

sudo cryptsetup luksAddKey /dev/sda1 /home/zeugor/.keyfiles/key_luks

Nueva entrada en / etc / crypttab

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e /home/[USERNAME]/.keyfiles/key_luks luks

Actualizar el ramdisk inicial

sudo update-initramfs -u -k all

Luego, para probarlo, utilicé el siguiente comando para iniciar cryptdisks:

sudo cryptdisks_start hddencrypted 
 * Starting crypto disk...                                                       
 * hddencrypted (starting)..
 * hddencrypted (started)... 

Para verificar hddencrypted se mapeó:

ls /dev/mapper/
control  hddencrypted

Crear un punto de montaje

mkdir /mnt/hdd

Nueva entrada en / etc / fstab

/dev/mapper/hddencrypted /mnt/hdd ext4 defaults 0 2

Validar fstab sin reiniciar:

sudo mount -a

Monta la partición cifrada en el arranque

Ahora lo tengo montado en / mnt / hdd como propuse. Pero me gustaría hacer esto automáticamente después del reinicio. Pero antes de que pueda iniciar sesión, aparece este error:

the disk drive for /mnt/hdd is not ready yet or not permit

Todo esto me hace pensar que / etc / crypttab no puede acceder al archivo de claves que se encuentra en mi INICIO (otra partición cifrada). No sé el orden que sigue el sistema para desencriptar y montar las unidades. Mi INICIO no debe estar cifrado antes de mi HDD para dar acceso a leer el archivo de claves.

Agradecería cualquier idea sobre por qué sucede esto.

ACTUALIZACIÓN: Si ubico el archivo de claves en / boot (no cifrado), en lugar de en mi / home / [USERNAME] (encriptado), / dev / sda1 y actualiza la entrada en / etc / crypttab está perfectamente montado en el momento del arranque.

    
pregunta zeugor 19.04.2014 - 20:26

3 respuestas

6

Un archivo de clave en el directorio / boot puede ser leído por cualquier otro sistema operativo arrancado en su máquina que pueda montar el sistema de archivos en el que se encuentra / boot. Por lo tanto, el cifrado no es realmente efectivo. Este argumento se aplica a todas las ubicaciones de archivos clave en sistemas de archivos no cifrados.

Para evitar archivos clave en sistemas de archivos no cifrados, se puede usar una contraseña para descifrar. Crea una contraseña segura para el dispositivo. Luego, cambie la línea en / etc / crypttab a

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e none luks

y mantener la entrada en / etc / fstab sin modificar. Ubuntu 14.04 le pide la contraseña al inicio.

    
respondido por el Dominik Grether 25.10.2014 - 10:05
3

¿Funciona si reemplaza "valores predeterminados" en fstab con

rw,suid,dev,exec,auto,user,async,relatime

(Según la página de manual de mount , es lo mismo que "predeterminados", excepto para "usuario". )

    
respondido por el solt87 04.08.2014 - 15:51
0

Asegúrese de que la partición hddencrypted aparezca después de la partición de inicio, tanto en /etc/fstab como en /etc/crypttab . Como dice la página de manual de crypttab (5) :

  

El orden de los registros en          crypttab es importante porque los scripts init se iteran secuencialmente a través de crypttab haciendo          lo suyo.

También podría intentar agregar la opción noearly a la última partición en /etc/crypttab :

hddencrypted UUID=<...> /home/[USERNAME]/.keyfiles/key_luks luks,noearly

En una situación normal, puede indicar que la partición de inicio debe montarse primero agregándola a CRYPTDISKS_MOUNT en /etc/default/cryptdisks , pero dado que está encriptada, tengo la sensación de que no sería una buena idea.

    
respondido por el Aryeh Leib Taurog 06.08.2014 - 21:14

Lea otras preguntas en las etiquetas