takas için şifre sorma crypttab'ı durdur

10

Yeni bir 11.04 sistemi kurulduktan sonra kurdum ve LUKS ile tam disk şifrelemesi kurdum. İlk başta üç şifreli bölümüm için bir şifre istedi:

/
/home
swap

Parolayı üç kez yazmak sinir bozucu oldu, bu yüzden / home'u ayarlamaya ve / üzerinde depolanan bir anahtar dosyasından şifresini çözmek için değiştirmeye çalıştım. Anahtar dosyasını oluşturdum ve iki bölümde etkinleştirdim. Crypttab'ım şimdi şöyle görünüyor:

root-root_crypt UUID=13c21bf6-4d92-42a7-877a-87cc31b1aa19 none luks
home-home_crypt UUID=ba90ce5b-9df7-4764-8a72-011bbb164db4 /root/keyfile luks
home-home_crypt UUID=ba90ce5b-9df7-4764-8a72-011bbb164db4 none luks
sda3_crypt UUID=e4677895-2114-4054-9f23-d36f6bb0e6a2 /root/keyfile luks,swap

Bu, şifre sormadan otomatik olarak monte edilen / home için iyi çalışır. Ancak cryptsetup hala takas alanı için bir şifre istiyor. Hatta takas alanına noauto eklemeyi denedim, bu yüzden ayarlanmayacaktı - sistem önyüklendikten sonra parola olmadan etkinleştirebilirim, bu yüzden sadece yapmak için geç bir başlangıç ​​komut dosyası ekleyeceğimi düşündüm ancak, noauto cryptsetup ile bile hala parola ister.

Teşekkürler!

luks 
başsız çivi
kaynak
4
Bu nedenle, birden fazla bölüm olması durumunda LVM + LUKS kullanılması önerilir. Crypsetup, LVM katmanının üstünde veya altında kullanılabilir (yukarıda -> dosya sistemi, altında -> disk). LVM'nin altında kripto kurulumunun kullanılması, yalnızca bir şifreli bölüme (LVM bir) ihtiyacınız olması avantajına sahiptir.
Lekensteyn

Yanıtlar:

10

Aynı soru vardı, ubuntu 12.04.1 ve 12.10'da nasıl yaptım,

- başlamadan önce bir yedeğiniz olduğundan emin olun ve ayrıca sisteminizi ubuntu cd veya usb ile önyükleyebilir; sanki bir hata yaparsanız, sisteminiz artık önyükleme yapmayabilir veya veri kaybedebilirsiniz. LUKS ile şifreli bir ubuntu sisteminiz olduğunu varsayalım, LUKS içinde 3 bölümünüz, SYSTEM-BOOT (şifreli değil), SYSTEM-SWAP (şifreli) ve SYSTEM-OS (şifreli) -

UUID'leri, SYSTEM-SWAP_crypt, SYSTEM-OS_crypt, SYSTEM-SWAP, SYSTEM-OS sisteminizde kullanılan varyasyona ayarlamanız gerekir, lütfen daha fazla bilgi için benim çözümümün altındaki referans bağlantısına bakın

UUID'leri alın:

blkid

Hazırla>

swapoff /dev/mapper/SYSTEM-SWAP_crypt
cryptsetup luksClose SYSTEM-SWAP_crypt

Kripto kurulumundan, kök dosya sistemini tutan birimin şifre çözme anahtarından takas bölümünün parolasını hesaplamasını söyleyin>

/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksFormat /dev/mapper/SYSTEM-SWAP --key-file -
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksOpen /dev/mapper/SYSTEM-SWAP SYSTEM-SWAP_crypt --key-file -
mkswap /dev/mapper/SYSTEM-SWAP_crypt

Sisteme takas bölümü hakkında bilgi verin, düzenleme crypttab>

nano /etc/crypttab

=? iki satırın eşleştiğinden emin olun

SYSTEM-OS_crypt UUID=uuid-of-luks-containing-osroot none luks
SYSTEM-SWAP_crypt UUID=uuid-of-luks-containing-swap SYSTEM-OS_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived

Sisteme takas bölümü hakkında bilgi verin, fstab dosyasını düzenleyin>

nano /etc/fstab

=? bu çizgiye sahip olduğunuzdan emin olun

/dev/mapper/SYSTEM-SWAP_crypt swap swap sw 0 0

Sisteme takas bölümü hakkında bilgi verin, özgeçmişi düzenleyin>

nano /etc/initramfs-tools/conf.d/resume

=? bu çizgiye sahip olduğunuzdan emin olun

RESUME=UUID=uuid-of-encrypted-swap-SYSTEM-SWAP_crypt

önyükleme bölümünde initramfs güncelleme>

update-initramfs -u -k all

Referans

Şifrelenmiş bir Debian sistemi kurmaktan (arşivlenmiş bağlantı) ilham :

Şifrelenmiş bir Debian sistemi kullanıyorsanız, karşılamanız gereken bazı güvenlik gereksinimleriniz olabilir. Bu durumda, şifreli bir takas bölümü de kullanmanız gerekir.

Takas bölümü iki şekilde şifrelenebilir:

  • rastgele bir parola kullanarak her önyüklemede yeniden oluşturulabilir veya
  • kalıcı bir parolaya sahip diğer şifreli birimler gibi oluşturulabilir

Diske askıya alma özelliğini kullanmak istiyorsanız, takas bölümünde depolanan bellek ayak izinizin üzerine yazacağı için ilk yaklaşımı kullanamazsınız. Ayrıca, kök dosya sistemi özgeçmiş işlemi başladığında ve şifresi çözülmüş takas bölümünü okuması gerektiğinde bağlanamayacağından (ve olmamalı) diğer bölümler gibi bir anahtar dosyasını kullanamazsınız.

Bunu çözme şeklim, kripto kurulumuna kök dosya sistemini tutan birimin şifre çözme anahtarından takas bölümünün parolasını hesaplamasını söylemektir; cryptsetup paketi bunu ile uygular /lib/cryptsetup/scripts/decrypt_derived. Böylece, takas bölümünü kurmak için hda2, şifreli takas ve kök dosya sisteminin bulunduğu bölüm olduğunu varsayarak , aşağıdakileri yaparım hda5_crypt:

swapoff /dev/mapper/hda2_crypt
cryptsetup luksClose hda2_crypt
dd if=/dev/urandom of=/dev/hda2
/lib/cryptsetup/scripts/decrypt_derived hda5_crypt \
  | cryptsetup luksFormat /dev/hda2 --key-file -
/lib/cryptsetup/scripts/decrypt_derived hda5_crypt \
  | cryptsetup luksOpen /dev/hda2 hda2_crypt --key-file -
mkswap /dev/mapper/hda2_crypt

Sisteme bu takas bölümünden bahsetmek için, /etc/crypttabve ' yi eklememiz gerekir /etc/fstab; bu dosyaların aşağıdaki gibi satırlar içerdiğinden emin olun:

/etc/crypttab:
  hda2_crypt /dev/hda2 hda5_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived

/etc/fstab:
  /dev/mapper/hda2_crypt swap swap sw 0 0

Bu durumda, sistemi diske askıya alma için yapılandırır yapılandırmaz takas bölümü, önyükleme sırası sırasında kök dosya sisteminin yanında otomatik olarak kurulacaktır. O noktada kullanılabilir hale getirmek için hangi swap bölümü anlamak için, cryptsetup kontrolleri şunlardır: asfasfafs - bir çizgi gibi RESUME=/dev/mapper/hda2_cryptde /etc/initramfs-tools/conf.d/resume - bir özgeçmiş cihaz ayarı /etc/uswsusp.conf(bkz uswsusp.conf(5)) - bir giriş /etc/suspend.conf bir - resume=/dev/mapper/hda2_cryptÇekirdek komut satırında

Bu /usr/share/initramfs-tools/hooks/cryptrootkonuda daha fazla bilgi edinmek isteyip istemediğinizi inceleyebilirsiniz .

prens
kaynak
Ubuntu'ya Sor hoş geldiniz! Biçimlendirme (ki ben sadece yaptım) ilgilenmeden sadece kopyala / yapıştırılan değilse + 1'd olurdu. Burada "rastgele bir parola kullanarak her önyüklemede yeniden oluşturulabilir" yaklaşımını seviyorum.
gertvdijk
cevaba gerçekten kullandığım komutları ekledim, ben de 12.10'da test edeceğim, cevabı daha sonra güncelleyeceğim
Prens
Tamam. Tamamen kopyaladığınızı / yapıştırdığınızı varsaydım. Lütfen çalışmasını sağlamak için üzerinde yaptığınız değişiklikleri netleştirmek için değiştirin. Yardımcı olur, teşekkürler!
gertvdijk
Google önyükleme hata raporları, "cryptsetup lvm kullanılamıyor", ben "cryptsetup lvm mevcut değil" olsun, 12.10 denemeyin. daha derinlemesine bakmanız gerekiyor ama vaktimiz yok, daha sonra uyaracaksınız.
Prens
cevabı güncelledi, benim 12.10 sistemim artık tamamen işlevsel ve sadece bir şifre istiyor, ben -initramfs -u -k tüm yorum vermedi sorunu sonunda sonunda güncelleme vermedi . @gertcdijk her şeyi oluşturdu, umarım mutlu olursun
Prens
4

Bu muhtemelen takas bölümüne initramfsönyükleme işleminin bir kısmı sırasında erişildiğini gösterir . Bu noktada kök dosya sistemi henüz bağlanmamıştır, bu nedenle orada saklanan yapılandırma dosyaları görünmez.

Takas alanı kök dosya sisteminden sonra monte edilirken, initramfsbaşlatma işleminin takas alanına erişmesi için bir neden vardır : bilgisayarınızı hazırda beklettiğinizde, bellek içeriği ve sistem durumu takas için yazılır. Hazırda bekletme modundan devam etmek için, takas alanının geçiş deyimini gerektiren bir hazırda bekletme görüntüsü içerip içermediğini kontrol etmek gerekir.

Hazırda bekletme modundan devam etme yeteneğini kaybetmenin bir sakıncası yoksa, /etc/initramfs-tools/conf.d/resumeile başlayan satırı düzenleyerek ve yorum yaparak bu davranışı devre dışı bırakabilirsiniz RESUME=. Değişikliği yaptıktan sonra görüntüyü update-initramfs -ugüncellemek için çalıştırın initramfs.

James Henstridge
kaynak
Ah teşekkürler! Hazırda bekletme modundan ödün vermek istediğimden emin değilim. Sık kullanmıyorum, ancak pil fark ettiğimde tükendiğinde kullanışlı oluyor. / İçin kripto kurulumunun aynı şifreyi tekrar kullanmanın bir yolu olup olmadığını biliyor musunuz?
Brad
Bunu yapmanın bir yolunu bilmiyorum. Ve sormadan önce, anahtar dosyanızın bir kopyasını initramfs. Parola isteminden kurtulurken, diske fiziksel erişimi olan herkes için de kullanılabilir hale gelir.
James Henstridge
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.