Шифрование всего диска archlinux. Не могу привязать ключ.

0

1

Добрый день ЛОР.

Сабж. При загрузке просит пароль (так и должно быть), далее в процессе загрузки initramfs не может найти ключ, и просит еще раз ввести пароль от контейнера.

В mkinitcpio.conf в разделе FILES указан путь до ключа.

← Kate не может открыть директорию sshfs

Две проблемы в Убунту, пока. Не могу найти решение. →

У тебя зашифрован /boot, а ключ в initrd [должен быть]?

anonymous
(09.09.24 12:10:01 MSK)

Ответ на: комментарий от anonymous 09.09.24 12:10:01 MSK

Совершенно верно

xaTa ★★★★
(09.09.24 12:11:37 MSK) автор топика

Ответ на: комментарий от xaTa 09.09.24 12:11:37 MSK

Тогда проще всего распаковать initrd и убедиться, что: 1) файл ключа там есть; 2) путь к файлу соответствует тому, что в crypttab (который в initrd, а не в «корневом» /etc). Также может требоваться более строгий режим прав на файл, типа 0600, но это уже наугад, я не пользователь Arch.

anonymous
(09.09.24 12:14:26 MSK)

Ответ на: комментарий от anonymous 09.09.24 12:14:26 MSK

Ключ в образе присутствует. В crypttab я не прописывал контейнер. Права ключа 0600.

xaTa ★★★★
(09.09.24 12:29:59 MSK) автор топика

Ответ на: комментарий от xaTa 09.09.24 12:29:59 MSK

В crypttab я не прописывал контейнер

А где прописан путь к ключу?

anonymous
(09.09.24 12:35:26 MSK)

Ответ на: комментарий от anonymous 09.09.24 12:35:26 MSK

В mkinitcpio.conf в в разделе FILES

xaTa ★★★★
(09.09.24 12:39:12 MSK) автор топика

Ответ на: комментарий от xaTa 09.09.24 12:39:12 MSK

А, понял, там он в определённом фиксированном месте. В Debian этот хук initramfs иначе работает. Делал как здесь в п. 8.5? Не забыл параметр ядра указать? Если всё точно как там, то, наверное, какой-то баг. Но стоит свериться с инструкцией сначала.

anonymous
(09.09.24 12:46:05 MSK)

Ответ на: комментарий от xaTa 09.09.24 12:39:12 MSK

А в /etc/default/grub ?

anonymous
(09.09.24 13:19:09 MSK)

Ответ на: комментарий от anonymous 09.09.24 13:19:09 MSK

Вот так это выглядит: https://forum.artixlinux.org/index.php/topic,7265.msg43939.html#msg43939

anonymous
(09.09.24 13:22:16 MSK)

В mkinitcpio.conf в разделе FILES указан путь до ключа.

Так враг, конечно, же никогда не пройдет… Ты в образе initramfs ключ для расшифровки раздела хранишь? Не думал над тем, что это как ключ, оставленный в замочной скважине?

~~rtxtxtrx~~ ★★★
(09.09.24 13:25:12 MSK)

Если тебе влом вводить пароль, то можешь использовать TPM. Там если меняешь порядок загрузки, то раздел уже не расшифровыается + надо вырубить в гробе, возможность отредактировать параметры загрузки. Это единственное решение. То что ты делаешь просто бред

~~rtxtxtrx~~ ★★★
(09.09.24 13:35:45 MSK)

Ответ на: комментарий от rtxtxtrx 09.09.24 13:25:12 MSK

У него initrd не лежит в открытую, /boot зашифрован.

anonymous
(09.09.24 13:37:18 MSK)

Ответ на: комментарий от anonymous 09.09.24 13:37:18 MSK

Чем зашифрован? FILES - это файлы, добавляемые в образ. Образ этот лежит на ESP. ESP не может шифроваться, иначе он не будет грузиться. Это как двери посреди поля с картинки

~~rtxtxtrx~~ ★★★
(09.09.24 13:41:19 MSK)

Ответ на: комментарий от rtxtxtrx 09.09.24 13:41:19 MSK

Образ этот лежит на ESP

Он может там и не лежать. Я другой анон, если что.

anonymous
(09.09.24 13:44:47 MSK)

Ответ на: комментарий от rtxtxtrx 09.09.24 13:41:19 MSK

Образ этот лежит на ESP

Это не аксиома. Даже в этом вашем раче никто не заставляет так делать. Это реально требуется только для sd-boot или UKI.

anonymous
(09.09.24 13:47:40 MSK)

Ответ на: комментарий от anonymous 09.09.24 13:47:40 MSK

Как по мнению анонимного эксперта UKI защищает ключ, вшитый в нем?

~~rtxtxtrx~~ ★★★
(09.09.24 13:51:56 MSK)

Ответ на: комментарий от rtxtxtrx 09.09.24 13:51:56 MSK

Как по мнению анонимного регистранта этот бред следует из моего утверждения? Перечитай тему трижды, и если вопросы останутся — не стесняйся.

anonymous
(09.09.24 13:55:03 MSK)

Ответ на: комментарий от anonymous 09.09.24 13:22:16 MSK

Вот так это выглядит: https://forum.artixlinux.org/index.php/topic,7265.msg43939.html#msg43939

Да, так работает. Только до этого у меня расшифровкой занимался sd-encrypt.

xaTa ★★★★
(09.09.24 14:09:35 MSK) автор топика

Ответ на: комментарий от rtxtxtrx 09.09.24 13:35:45 MSK

То что ты делаешь просто бред

Шо ты трусишь? У меня boot шифрованый. Вверху большими буквами написано «Шифрование всего диска», ключевое слово «всего»

xaTa ★★★★
(09.09.24 14:12:01 MSK) автор топика

Ответ на: комментарий от xaTa 09.09.24 14:09:35 MSK

Ну и хорошо, ну и ладненько.

anonymous
(09.09.24 14:13:49 MSK)

Ответ на: комментарий от rtxtxtrx 09.09.24 13:41:19 MSK

Образ этот лежит на ESP.

При шифровании всего диска там лежит загрузчик, а образ на зашифрованном разделе. Отсюда сама проблема с повторным вводом пароля и возникает.

altwazar ★★★★★
(10.09.24 09:48:42 MSK)

← Kate не может открыть директорию sshfs

Desktop

Две проблемы в Убунту, пока. Не могу найти решение. →

Похожие темы