Расшифровка LUKS при автозагрузке

0

1

Добрый день. Для общего образования хотел бы узнать как можно реализовать расшифровку luks раздела home при загрузке OS. Если использовать ecryptfs то там в fstab подтягивается сам раздел /home и после подтягивания прописывается /home/user /home/user ecryptfs defaults 0 0 но при этом должен быть конфиг. А с luks, можно ли это сделать, или только его можно использовать для расшифровки через консоль определенного раздела ? И есть ли у luks «фейковый» раздел после ввода второго пароля для котиков? В интернете нет конкретной информации, собрал только по ниточкам чтобы более менее понять суть luks.

Ссылка

←	iptables и радио не играет в локалке

Настройка RBAC в kilo

→

https://feeding.cloud.geek.nz/posts/encrypting-your-home-directory-using/

Оно?

А с luks, можно ли это сделать, или только его можно использовать для расшифровки через консоль определенного раздела ?

Ъ полностью шифруют весь диск при помощи luks.

~~te111011010~~ ★
(07.03.18 17:57:54 MSK)

Ответ на: комментарий от te111011010 07.03.18 17:57:54 MSK

полностью шифруют весь диск при помощи luks.

Об этом мне говорили, но мне не понятно как он расшифровывается до запуска операционки или во время запуска.

TheLinuxUser ★★
(07.03.18 18:00:01 MSK) автор топика

Ответ на: комментарий от TheLinuxUser 07.03.18 18:00:01 MSK

расшифровывается после запуска всего что было в /boot но очевидно до запуска всего остального (/bin; /sbin и т.д.)

af5 ★★★★★
(07.03.18 18:06:50 MSK)

Ответ на: комментарий от af5 07.03.18 18:06:50 MSK

расшифровывается после запуска всего что было в /boot но очевидно до запуска всего остального (/bin; /sbin и т.д.)

Все равно не пойму как оно поймет что нужно расшифровать и то что сам ключ для этого лежит на подключенной флешке sdc

TheLinuxUser ★★
(07.03.18 18:10:12 MSK) автор топика

libpam-mount

anonymous
(07.03.18 18:18:46 MSK)

Ответ на: комментарий от anonymous 07.03.18 18:18:46 MSK

А, не так понял вопрос. Скорее всего подойдёт /etc/crypttab.

anonymous
(07.03.18 18:21:45 MSK)

Ответ на: комментарий от anonymous 07.03.18 18:21:45 MSK

до etc еще добраться надо, сначала отрабатывает то, что было упаковано в едро (если корень зашифрован)

af5 ★★★★★
(07.03.18 18:40:37 MSK)
Последнее исправление: af5 07.03.18 18:41:26 MSK (всего исправлений: 1)

Ответ на: комментарий от TheLinuxUser 07.03.18 18:10:12 MSK

Ты про флешку ничего не сказал. У тебя спросит пароль при загрузке ОС.

~~te111011010~~ ★
(07.03.18 18:41:29 MSK)

Ссылка

Ответ на: комментарий от af5 07.03.18 18:40:37 MSK

Не в едро, а в рамдиск. И упаковывается оно туда из … /etc. Вообще это дистрозависимо, даже там, где используется systemd. В Debian, например, можно выбирать, расшифровывается том в initramfs или уже после (если это не корень, очевидно).

anonymous
(07.03.18 18:44:45 MSK)

Ответ на: комментарий от anonymous 07.03.18 18:44:45 MSK

ну да, в initrd, который в /boot вместе с едром

af5 ★★★★★
(07.03.18 19:14:41 MSK)

Ответ на: комментарий от af5 07.03.18 19:14:41 MSK

по итогу мне кто-то может подробно объяснить как вообще работает luks с шифрованием всего диска и шифрованием только раздела, как расшифровывается, как понимает, есть ли конфиг или какие настройки для его расшифровки (кроме пароля или файл-ключа)? Если не трудно, буду весьма благодарен

TheLinuxUser ★★
(07.03.18 20:44:34 MSK) автор топика

Ответ на: комментарий от TheLinuxUser 07.03.18 20:44:34 MSK

Всё же написали, настройки шифрования диска в /etc/crypttab, чтоб едро при загрузке из нешифрованного /boot узнало об этом - такая информация (модули шифрования и их конфиги) собирается в initrd.

af5 ★★★★★
(07.03.18 20:57:31 MSK)