Во время установки ubuntu, через меню установщика, создал шифрованный контейнер, для root, swap, home. Потом поменял парольную фразу на ключ-файл.

dmsetup table:

0 116703232 crypt aes-xts-plain64 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 0 8:5 4096

0 417792 crypt aes-xts-plain64 e8cfa3dbfe373b536be43c5637387786c01be00ba5f730aacb039e86f3eb72f3 0 8:16 0  
|    |     |    |   |     |                                 |                                   |  |   |   
start|     |    |  mode   IV                                |                                   |  |   offset  
     size  |  cipher                                        |                                   |  device  
         target                                        256bit-key                          IV offset  

Почему нули?
Вроде, этот ключ - это мастер ключ который создаётся при создании LUKS контейнера, рандомно.
Подозреваю, что у меня вместо мастер ключа нули. Что делать? Новый LUKS контейнер создавать?
Я в опасности? АНБ пилило установщик для убунту?!!

Linux ubuntu 3.13.0-24-generic 

Постоянно висит ssh тоннель для бытовых нужд, ssh поднимает socks прокси внутри сети и биндит его на порт. Это и ежу ясно.)

Периодически ssh тоннель падает и ssh падает вмести с ним.(иногда приходится снимать процесс) ps -aux | grep ssh молчит.

А теперь проблема.
После падения, netstat -pl показывает что порт уже не используется. Поднимаю новый тоннель, netstat -pl порт используется ssh. Это конечно хорошо, но тоннель не работает.

Лог ssh

bind: Address already in use
channel_setup_fwd_listener: cannot listen to port: 3145

Пробовал ронять интерфейс, после поднимать тоннель, толку нет. Помогает только перезагрузка.

Мои варианты:
1) netstat врёт
2) ssh создаёт временные файлы, после падения и перезапуска, использует файлы от предыдущего вхождения и сходит с ума
3) я чего то не знаю в работе сети

Вопросы:
1) Что делать?
2) Чем проверить занят ли порт, помимо netstat?
3) Как принудительно снять бинд с порта?

Преамбула.

dm-crypt, debian дистрибутив

Сделал расшифровку / раздела ключом лежащим на флешке, и сразу задумался, а как расшифровывать / если машина не одна, и при этом иметь все ключи или ключ в одном месте, а не собирать горку флешек.

Посему, вопрос.

Как расшифровать root раздел ключом расположенным в локальной сети или в интернет. Протокол неважен, https, smb, nfs, и т.д. Если расшифровывать не рут раздел, то всё просто, монтировать смб шару и указать путь к ключу, но как быть с рут, ведь пока он не загружен инструментарий крайне мал.

Нашёл 2 пути и оба не знаю как реализовать.

1. Грузить PXE образом и расположить в initrd.img ключ.

2. Переписать passdev скрипт чтобы он мог скажем wget'ом скачать ключ, расшифровать раздел и удалить ключ.

Проблемы:

1. Загрузить ОС лежащую на локальном диске PXE образом содержащим vmlinuz и initrd.img получилось, а вот как подсунуть ключ не знаю. Во время загрузки initrd монтируется куда то?

2. passdev похоже bin а не sh скрипт. Да и к тому же знаний на это не хватает.

Подскажите как быть?

Может есть другие программы для шифрования, которые умеют, расшифровывать ключом из сети.

Или как по другому организовать шифрование и при этом иметь один ключ в одном месте, а не 10 в 10ти?

Спасибо

Требуется ключом расположенным на флешке расшифровывать root раздел при загрузке.

нашёл простой гайд:
https://gist.github.com/martijnvermaat/2726386
http://www.cheshirekow.com/wordpress/?p=810
http://proc.fsckwits.com/2010/05/ubuntu-encrypted-lvms-and-keyfile-on.html
Пишут в комментах, что они работают, но у меня не взлетает. п.с. пробовал разные скрипты и гайды, ошибки одни. И действия там одни и те же.

Что сделал:
настроил lvm, шифрование по паролю, в шифрованном разделе создал root и swap, boot отдельно не шифрованный.
Всё работает, но нужно каждый раз вводить пароль.
Создал ключ, добавил его в контейнер, расположил на юсб флешке. Отредактировал crypttab. Создал скрипт для отправки ключа с флешки в стдаут(или вроде того)). Обновил образ.

На проверку зашифровал /tmp, всё работает, в boot.log видно что расшифровка происходит уже после монтирования root. С root разделом это не работает, хотя гайд как раз для этого случая и написан.

/etc/crypttab

sda5_crypt UUID=*** none luks,keyscript=/sbin/keyscript

/sbin/keyscript

#!/bin/sh
modprobe usb-storage
sleep 5
mkdir /keydev 1>&2
mount -t ext4 -o ro /dev/disk/by-uuid/d58009e6-a694-47b6-a9ca-6a4ada8383a8 /keydev 1>&2
cat /keydev/key
umount /keydev 1>&2

Вываливаются ошибки wrong syntax #!/bin/sh и ещё что-то(под рукой лога нет)

Кодировку менял, не помогло. Думаю не подгружаются системные переменные поэтому ошибки и вываливаются, но знаний не хватает для решения проблемы.

П.с.с пробовал разные дистрибутивы, дебиан, минт, убунту. Везде одно.

Помогите познать безопасность 256 битного аеs. Или ткните в рабочий гайд или скрипт.