Tự động mở khóa phân vùng LUKS bằng khóa trên ổ USB trên Debian Jessie


4

Tôi đang cố gắng tự động mở khóa phân vùng gốc được mã hóa khi khởi động bằng ổ USB được kết nối trên bản cài đặt mới của Debian Jessie (không nâng cấp phi hệ thống). Sau khi làm theo một vài hướng dẫn trên web, tôi bị mắc kẹt, vì nó vẫn yêu cầu cụm mật khẩu ngay sau khi khởi động. Đây là những gì tôi đã làm cho đến nay:

Tạo khóa trên ổ USB:

root@fls:~# dd if=/dev/urandom of=/dev/sdc bs=512 seek=1 count=60

Sao chép phần thích hợp làm khóa vào tệp tạm thời:

root@fls:~# dd if=/dev/sdc bs=512 skip=1 count=4 > tempKeyFile.bin

Đã thêm khóa đó vào cấu hình phân vùng được mã hóa:

root@fls:~# cryptsetup luksAddKey /dev/md1 --key-file=- tempKeyFile.bin

Tìm ra ID của ổ USB:

root@fls:~# ls -l /dev/disk/by-id/ | grep sdc
lrwxrwxrwx 1 root root  9 usb-0_USB_DRIVE_00000000000165A3-0:0 -> ../../sdc
lrwxrwxrwx 1 root root 10 usb-0_USB_DRIVE_00000000000165A3-0:0-part1 -> ../../sdc1

Thay đổi /etc/crypttab như thế

#md1_crypt UUID=e53fc075-0afa-4018-b187-912f8f355699 none luks
md1_crypt UUID=ED04-17F5 /dev/disk/by-id/usb-0_USB_DRIVE_00000000000165A3-0:0 luks,tries=3,keyfile-size=2048,keyfile-offset=512

Cập nhật các tệp trình tạo systemd:

systemctl --system daemon-reload

Tôi không chắc liệu điều đó UUID= mục nhập là chính xác, vì nó thực sự là UUID của /dev/sdc1 hình như sẽ không có một UUID cho /dev/sdcVì vậy, những gì tôi phải nhập vào đó?

Ngoài ra, tôi có bỏ lỡ bất cứ điều gì khác sẽ ngăn khóa trên ổ USB để mở khóa phân vùng không? Khi tôi làm cryptsetup luksDump /dev/md1 Nó hiển thị hai Phím chính, vì vậy khóa được cấu hình đúng, tôi đoán vậy.

Có ý kiến ​​gì không?

Câu trả lời:


1

Tôi nghĩ bạn gần như đúng. Tôi đã sử dụng hướng dẫn của bạn để thiết lập mở khóa tự động các phân vùng LUKS tại đây, nhưng không /. ;-)

Điều có vẻ sai đối với tôi, là UUID bạn sử dụng. Bạn dường như nhầm lẫn UUID với việc thiết lập keyfile trên USB. UUID trỏ đến uuid của phân vùng LUKS mà bạn muốn mở khóa. Vì vậy, bạn không muốn thay đổi nó từ dòng trên, trừ khi tôi đã hiểu lầm.

Tôi sẽ sử dụng trong /etc/crypttab thay thế:

md1_crypt UUID=e53fc075-0afa-4018-b187-912f8f355699 /dev/disk/by-id/usb-0_USB_DRIVE_00000000000165A3-0:0 luks,tries=3,keyfile-size=2048,keyfile-offset=512

Một bước quan trọng là thêm mô-đun cần thiết để initramfs / initcpio để kernel có thể đọc khóa USB.

Trên Ubuntu , Tôi đã thay đổi /etc/initramfs-tools/modules với rtsx_usb {_ms, _sdmmc,} ghi nhớ bởi vì tôi sử dụng Đầu đọc thẻ SD thay thế. Nhưng đối với khóa USB, bạn sẽ cần usb_st Storage , usbhid (?), hid_generic (?), giấu (?), ghi nhớ và có thể là những người khác.

sau đó chạy

sudo update-initramfs -u

và khởi động lại. Nó nên hoạt động


-1

tạo lại khóa SAU khi gắn usb vào một nơi mà về cơ bản là một con mèo & gt; / dev / null

   # sudo mount /dev/sdc /cryptusb
   # dd if=/dev/urandom of=/cryptusb/keyfile bs=512 seek=1 count=60
   #  dd if=/cryptusb/keyfile bs=512 skip=1 count=4 > tempKeyFile.bin

HOẶC LÀ

   # cat  /cryptusb/keyfile > /tmp/keyfile.bin

THEN sử dụng 'ĐỐI TƯỢNG' từ blkid đến tiêm vào "/ etc / crypttab '

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.