вот конфигурация у меня: - 2 жестких диска, - первый зашифрован с помощью LUKS и LVM. Хочу добавить в группу томов зашифрованный второй жесткий диск. Я успешно установил и зашифровал. Но когда я загружаюсь, мне нужно ввести 2 парольные фразы, чтобы расшифровать оба жестких диска.
Разве нельзя использовать только один?
Я наконец нашел способ ввести только один пароль и зашифровать все мои физические диски.
Я шифрую первый с помощью парольной фразы, я шифрую второй, используя ключевой файл, который я храню на первом жестком диске (/ root / mykeyfile).
И со строкой исправлений в файле / etc / crypttab, это помогает.
sda5_crypt UUID = fb07f1e8-a569-4db9-9fd7-fc1994e093b5 нет, нравится
sdb1_crypt UUID = 4c0687f0-d7af-4f2e-9c57-5ca8e909d492 / root / mykeyfile luks
В ubuntu можно использовать ключ, производный от корня, в качестве дополнительного ключа в других файловых системах. Это позволяет хранить ключ для других дисков вне самой файловой системы.
Перед тем как это сделать, убедитесь, что / tmp установлен только на плунжере! Я предлагаю для этого изменения однопользовательский режим.
mount -t ramfs none /tmp
Затем вы можете экспортировать производный ключ:
# replace vda5_crypt with the cryptsetup name of your root luks
# have a look in /dev/mapper or 'pvdisplay' to find it...
/lib/cryptsetup/scripts/decrypt_derived vda5_crypt > /tmp/key
А затем добавьте его на другое устройство (а):
# use your own disks here instead of sdb1 sdc1 sdd1 etc
cryptsetup luksAddKey /dev/sdb1 /tmp/key
cryptsetup luksAddKey /dev/sdc1 /tmp/key
cryptsetup luksAddKey /dev/sdd1 /tmp/key
rm /tmp/key
Это позволит сценариям инициализации ubuntu использовать производный ключ после разблокировки корня, чтобы разблокировать остальные блочные устройства и сделать их доступными аналогичным образом в / dev / mapper. Я не уверен, нужны ли им записи в / etc / crypttab - сначала попробуйте их, а если они не появятся, поместите их в crypttab без ключа, и он должен их разблокировать.
(Я ничего из этого не тестировал.)
Теоретически вы можете установить временную переменную среды в настраиваемом сценарии загрузки, на которую затем будут ссылаться сценарии инициализации для вашего процесса дешифрования. Я действительно сделал это несколько лет назад.
Другой вариант - удалить существующие сценарии инициализации для жесткого диска и написать собственный, который вводит ваш пароль один раз и затем выполняет два процесса дешифрования.
В качестве альтернативы вы можете расширить свой том LVM на второй диск. Если я правильно помню, шифрование должно сохраниться.
Нет, нет возможности сделать это из коробки.