Mã hóa toàn bộ đĩa bằng dm-crypt (không có LUKS)

Tôi hiện đang cố gắng đạt được mã hóa toàn bộ đĩa bằng cách sử dụng dm-crypt ở chế độ đơn giản mà không có tiêu đề LUKS với một /bootthanh USB riêng biệt .

Mục tiêu chính của tôi là đạt được sự từ chối hợp lý trên bản phân phối dựa trên Debian. Hiện tại tôi đã quản lý để mã hóa các phân vùng bằng cách sử dụng cryptsetupvà cài đặt /bootphân vùng vào một khóa USB riêng. Tất cả đều diễn ra như vậy và vì tiêu đề mã hóa không được lưu trữ trong LUKS, tôi cần nhập thủ công vào màn hình initramfs, nhưng ở bước này tôi chỉ đơn giản là gặp lỗi cho biết không có cryptsetup trong initramfs ("/ bin / sh: cryptsetup: không tìm thấy ") trong khi cố gắng phân tích cú pháp tiêu đề.

Tóm lại là:

• dev/sdađược mã hóa bằng dm-crypt( /rootvà /homekhối lượng) với:

cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda

• dev/sdb boot boot với grub được cài đặt

Tôi có thể khởi động thành công từ bootstick. Tôi thấy màn hình giật gân Ubuntu trong khoảng 20 giây, đó là điều tôi muốn đạt được cho sự từ chối hợp lý và sau đó nó rơi xuống các initramfs phàn nàn về việc không thể tìm thấy /dev/mapper/rootMình cũng là điều tôi muốn đạt được.

Vấn đề là khi tôi muốn phân tích dòng cryptsetup cho phép tôi nhập mật khẩu và tiếp tục khởi động, thì initramfs phàn nàn về "cryptsetup: không tìm thấy".

Tôi đoán khiếu nại này là đúng. Câu hỏi của tôi là: làm thế nào để cài đặt cryptsetup vào initramfs để nó cho phép khởi động nhanh hơn cho dấu nhắc mật khẩu?

Ngoài ra, tôi biết rằng tôi đang bỏ qua một cái gì đó với việc thêm các mục thích hợp ở /etc/fstab, /etc/crypttabvà các thiết bị không được tìm thấy trong khởi động.

Đây là những hướng dẫn tôi đã tìm thấy và sử dụng để thiết lập tất cả cấu hình hiện tại, có thể điều này sẽ làm sáng tỏ những điều tôi không đề cập đến trong câu hỏi của mình:

• http://and1equals1.blogspot.ro/2009/10/encrypting-your-hdd-with-plausible.html
• https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Plain_dm-crypt

Cái đầu tiên hơi lỗi thời và cái thứ hai là dành cho Arch Linux, nhưng tôi đã sử dụng hai trong số chúng với phiên bản LubFi mới nhất với một chút điều chỉnh.

Theo initramfs-tools (8) , người ta có thể thêm các chương trình vào hình ảnh initrd bằng cách thêm ví dụ sau vào tập lệnh hook :

copy_exec / sbin / cryptsetup / sbin

Các tập lệnh hook ví dụ có thể được tìm thấy trong /usr/share/initramfs-tools/hooksvà trên hệ thống Ubuntu của tôi, /usr/share/initramfs-tools/hooks/cryptrootthực sự là thêm /sbin/cryptsetupvào initrdhình ảnh.

Thí dụ:

$ gzip -dc /boot/initrd.img-`uname -r` | cpio -tv 2> / dev / null | grep cryptsetup
=> Chưa bao gồm cryptsetup.

$ cat / etc / initramfs-tools / hook / fde
#! / thùng / sh

. / usr / share / initramfs-tools / hook-function
copy_exec / sbin / cryptsetup / sbin

$ sudo chmod 0755 / etc / initramfs-tools / hook / fde
$ sudo update-initramfs -u

$ gzip -dc /boot/initrd.img-`uname -r` | cpio -tv 2> / dev / null | grep cryptsetup
-rwxr-xr-x 1 root 59248 ngày 21 tháng 8 04:04 sbin / cryptsetup
-rw-r - r-- 1 root 158848 ngày 21 tháng 8 04:04 lib / x86_64-linux-gnu / libcryptsetup.so.4