LINUX.ORG.RU
решено ФорумAdmin

Как зашифровать тонкий LVM раздел с хомяком и др.

 , , ,


1

3

Помогите нубу. А то с английским не лады.

Цель: Зашифровать тонкий раздел LVM с хомяком (LUKS), обычный логический раздел LVM со swap. Нужно сделать так, чтобы система не спрашивала пароль, т. е. открытие зашифрованного раздела была с помощью входа в систему через lightdm (я так понимаю работает фишка, которую впихнули в инсталлятор ubuntu). Но если запустить ОС с другой системы (livecd или вытащить SSD и вставить в другой комп, и запуститься с ОС того компа) спрашивала пароль.

$ lsblk
NAME                            MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda                               8:0    0 111,8G  0 disk 
├─sda2                            8:2    0 111,7G  0 part 
│ ├─archlinux-lvol0             254:1    0   108M  0 lvm  
│ ├─archlinux-thin_pool_tmeta   254:2    0   108M  0 lvm  
│ │ └─archlinux-thin_pool-tpool 254:8    0 107,4G  0 lvm  
│ │   ├─archlinux-rootfs        254:10   0    15G  0 lvm  /
│ │   ├─archlinux-home          254:11   0    91G  0 lvm  /home
│ │   └─archlinux-thin_pool     254:9    0 107,4G  0 lvm  
│ ├─archlinux-swap              254:0    0     4G  0 lvm  [SWAP]
│ └─archlinux-thin_pool_tdata   254:3    0 107,4G  0 lvm  
│   └─archlinux-thin_pool-tpool 254:8    0 107,4G  0 lvm  
│     ├─archlinux-rootfs        254:10   0    15G  0 lvm  /
│     ├─archlinux-home          254:11   0    91G  0 lvm  /home
│     └─archlinux-thin_pool     254:9    0 107,4G  0 lvm  
└─sda1                            8:1    0   100M  0 part /boot
$ cat /etc/fstab
# /dev/mapper/archlinux-rootfs UUID=d633fbf2-885b-452f-ba67-cfd8017ab01b
LABEL=rootfs            /               f2fs            rw,relatime,lazytime,background_gc=on,inline_data,flush_merge,extent_cache,mode=adaptive,active_logs=6  0 0

# /dev/mapper/archlinux-home UUID=d19bbcbc-faa4-4ddd-b214-54b0ce02ddde
LABEL=home              /home           f2fs            rw,relatime,lazytime,background_gc=on,inline_data,flush_merge,extent_cache,mode=adaptive,active_logs=6  0 0

# /dev/sda1 UUID=0D17-F6AB
/dev/sda1               /boot           vfat            rw,relatime,fmask=0022,dmask=0022,codepage=437,iocharset=iso8859-1,shortname=mixed,errors=remount-ro    0 2

# /dev/mapper/archlinux-swap UUID=6d0a04a4-6afc-45d4-97cb-b650cd0872f7
/dev/mapper/archlinux-swap      none            swap            defaults        0 0

Собственно здесь archlinux, /home с f2fs. Интересует сам процесс реализации, конфигурация /etc/fstab и /etc/crypttab

На Fedora я бы сделал примерно так:

  1. Временно подключить /dev/sdb, создать PV, расширить VG и перетащить все LV.
  2. На /dev/sda2 исключить PV из VG, удалить PV, забить через /dev/urandom, отформатировать в LUKS, открыть LUKS.
  3. На /dev/mapper/luks-* создать PV, расширить VG, перетащить все LV.
  4. На /dev/sdb исключить PV из VG, удалить PV и отключить /dev/sdb.
  5. Получить UUID:
    lsblk -dno UUID /dev/sda2

  6. Исправить в /etc/default/grub:
    GRUB_CMDLINE_LINUX="... rd.luks.uuid=luks-<UUID>"

  7. Прописать в /etc/crypttab:
    luks-<UUID> UUID=<UUID> none 

  8. Выполнить:
    grub2-mkconfig --output="/boot/grub2/grub.cfg"
    dracut --force --regenerate-all
ArcFi ()
Ответ на: комментарий от ArcFi
 ~ % cat /proc/cmdline                   
BOOT_IMAGE=/system/boot/vmlinuz-4.8.0-2-amd64 root=UUID=ceeadfb8-b86f-45d7-b0aa-b954d5787714 ro rootflags=subvol=system scsi_mod.use_blk_mq=1 intel_iommu=on splash quiet
 ~ % grep '^GRUB_CMDLINE' /etc/default/grub
GRUB_CMDLINE_LINUX_DEFAULT="scsi_mod.use_blk_mq=1 intel_iommu=on splash quiet" 
GRUB_CMDLINE_LINUX=""

Недавно заметил эту фичу в Debian testing, когда обнаружил повтоярющиеся параметры (прописанные руками + атоматически). Особенно умиляет автоматически добавленный параметр rootflags, содержащий только абсолютно необходимую часть строки из fstab.

anonymous ()
Ответ на: комментарий от anonymous

Спасибо, проверил, действительно, подхватывается автоматом.

ArcFi ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.