Автоматическое дешифрование нескольких устройств LUKS с помощью Mandos
Я поиграл с Mandos, чтобы автоматически открыть зашифрованное корневое устройство. Я хотел установить зашифрованный рейд 1 btrfs (sda1 и sdb1: LUKS). Первое устройство правильно расшифровано, но второе будет открыто. Есть ли способ сделать это?
3 ответа
Решение относительно простое:
Вместо добавления ваших дисков в /etc/crypttab, добавьте их непосредственно в /etc/initramfs-tools/conf.d/cryptroot и не забудьте часть с ключами (keyscript = / lib / mandos / plugin-runner).
/etc/initramfs-tools/conf.d/cryptroot:target=sda2_crypt,source=UUID=0f47884b-fb02-478e-b4dd-c594cf1cbbf1,key=none,rootdev,discard,keyscript=/lib/mandos/plugin-runner
target=sdb2_crypt,source=UUID=65f16e28-5b74-4b1f-9f81-01729244ac2c,key=none,rootdev,discard,keyscript=/lib/mandos/plugin-runner
Чтобы убедиться, что весь стек cryptsetup правильно скомпилирован в initramfs, добавьте фиктивное устройство в /etc/crypttab. Будьте внимательны, чтобы добавить noauto, в противном случае он попытается разблокировать устройство при запуске и завершится ошибкой.
/ И т.д. /crypttab:dummy_device UUID=087963da-63bb-439b-bb5a-15e712d02a29 none noauto,luks,discard
Я хотел бы предложить вам в корневой файловой системе (я бы предложил в /etc/keys) есть файл, содержащий пароль для любых других дисков, и введите это имя в третье поле /etc/crypttab,
Что касается Debian Stretch, он просто работает (тм). Оба устройства должны быть перечислены в /etc/crypttab, а btrfs raid1 должен быть настроен. Затем установите мандос. Подтвердили работу над Debian Stretch 9.5.