26 votos

Monte LUKS cifrado de unidad de disco duro en el arranque

Tengo Xubuntu 14.04 en un dispositivo SSD (la CASA estaba cifrado correctamente durante las actividades de instalación), además tengo un disco duro con una partición cifrada con datos extra que me gustaría montar en /mnt/hdd. Para la fabricación de estos he seguido los siguientes pasos:

(Previamente me había cifrado el disco con LUKS siguiendo este post http://www.marclewis.com/2011/04/02/luks-encrypted-disks-under-ubuntu-1010/)

Compruebe el UUID

sudo blkid 
/dev/sda1: UUID="b3024cc1-93d1-439f-80ce-1b1ceeafda1e" TYPE="crypto_LUKS"

Hacer un archivo de claves con el derecho a la frase de contraseña y guardarla en mi CASA (que también es encriptada).

sudo dd if=/dev/urandom of=/home/[USERNAME]/.keyfiles/key_luks bs=1024 count=4
sudo chmod 0400 .keyfiles/key_luks

Agregar la clave

sudo cryptsetup luksAddKey /dev/sda1 /home/zeugor/.keyfiles/key_luks

Nueva entrada en /etc/crypttab

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e /home/[USERNAME]/.keyfiles/key_luks luks

Actualización el disco ram inicial

sudo update-initramfs -u -k all

Entonces, para probar, he utilizado el comando sigue para iniciar cryptdisks:

sudo cryptdisks_start hddencrypted 
 * Starting crypto disk...                                                       
 * hddencrypted (starting)..
 * hddencrypted (started)... 

Para comprobar hddencrypted se ha asignado:

ls /dev/mapper/
control  hddencrypted

Crear un punto de montaje

mkdir /mnt/hdd

Nueva entrada en /etc/fstab

/dev/mapper/hddencrypted /mnt/hdd ext4 defaults 0 2

Validar fstab sin reiniciar:

sudo mount -a

Montar la partición cifrada en el arranque

Ahora tengo que montar en/mnt/hdd como la que he propuesto. Pero yo wold como para hacer esto automáticamente después de reiniciar el sistema. Pero antes de que pueda iniciar sesión, me sale este error:

the disk drive for /mnt/hdd is not ready yet or not permit

Todo esto me hace pensar que /etc/crypttab no puede acceder al archivo de claves que se encuentra en mi CASA (otra partición cifrada). No sé el orden en el que el sistema sigue a sin cifrar y monta las unidades. Mi CASA debe ser sin cifrar antes de mi disco duro para dar acceso a leer el fichero de claves.

Agradecería cualquier idea de por qué sucede esto.

ACTUALIZACIÓN: Si puedo localizar el archivo de claves en /boot (no cifrado), en lugar de en mi /home/[nombre de USUARIO] (cifrado) el /dev/sda1 y actualización de la entrada en /etc/crypttab es perfectamente montados en el momento de arranque.

10voto

Simen Echholt Puntos 6354

Un archivo de clave en el directorio /boot puede ser leído por cualquier otro sistema de la operación arrancó en su máquina que es capaz de montar el sistema de archivos en /boot se encuentra. Por lo tanto, el cifrado no es realmente eficaz. Este argumento se aplica a todas las ubicaciones de los archivos en archivos sin cifrar sistemas.

Para evitar la clave de los archivos de sistemas de archivos sin cifrar una contraseña puede ser utilizado para el descifrado. Crear una contraseña para el dispositivo. A continuación, cambie la línea en /etc/crypttab a

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e none luks

y mantener a la entrada en /etc/fstab sin modificar. Ubuntu 14.04 le pide la contraseña en el inicio.

6voto

Mostafa Puntos 7468

Funciona si reemplazar "por defecto" en el fstab con

rw,suid,dev,exec,auto,user,async,relatime

(De acuerdo a la página man de mount, es el mismo como "por defecto" excepto por "usuario".)

1voto

shocketz Puntos 1

Asegúrese de que el hddencrypted partición aparece después de la partición / home, en tanto /etc/fstab y /etc/crypttab. Como el crypttab (5) manual estados:

El orden de los registros en crypttab es importante porque los scripts de inicio de forma secuencial iterar a través de crypttab haciendo su cosa.

También podría intentar agregar el noearly opción a la segunda partición en /etc/crypttab:

hddencrypted UUID=<...> /home/[USERNAME]/.keyfiles/key_luks luks,noearly

En una situación normal, se puede indicar que la casa de la partición debe ser montado en primer lugar por la adición de a CRYPTDISKS_MOUNT en /etc/default/cryptdisks, pero puesto que está cifrada, tengo la sensación de que no sería una buena idea.

-1voto

jupi Puntos 1

Olvídense de almacenar el archivo de claves en la partición /home.

He tenido un problema similar, excepto en mi /home no está cifrada, y probado todas las respuestas anteriores (y más) sin éxito.

Después de que me mudé a la keyfile desde /home /root, todo funcionaba bien.

Sólo tengo un volumen cifrado, que se monta en /cifrado. Ni mi casa, ni mi /root están cifrados.

Sólo trate de mover el archivo de claves de /home a otro lugar.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: