dmcrypt спрашивает пароль 2 раза при загрузке

Ща чушь спрошу из разряда «воткнут ли комп в розетку», но всё же на всякий случай:

Зашифрованных разделов случайно не два? Если два и зашифрованы они по отдельности, то вроде ничего поделать нельзя, кроме как переделать и объединить в один контейнер.

Можно сунуть ключ от одного раздела на другой. У меня так сделано, спрашивает пароль один раз.

В бздэхах там много чего понатыкано «однодругое», так сказать. И ещё не мешало проверить, не в бинарь ли уперлась лочка, да, да обычная лочка могла просто тупо дважды в однин сеанс?!

нет раздел один, зашифрован том с btrfs.

причём это именно подтверждение пароля вот скриншот: http://i.imgur.com/gnfmWnP.png

С простым dm-crypt без LUKS ты не сможешь проверить правильность пароля, поэтому просят ввести два раза.

Подскажи как ты шифровал:

dm-crypt, без LUKS, параметры шифрования заданы в параметрах загрузки ядра

Просто все говорят, мол лучше без luks, а как это, я не вкуриваю. Ну или ссылкой кинь. Буду признателен

С простым dm-crypt без LUKS ты не сможешь проверить правильность пароля, поэтому просят ввести два раза.

Можно разъяснить? Я никак понять не могу «зачем?», мне же расшифровать надо, если пароль не верный падает в панику, в моём случае если пароль введён хотя бы один раз из двух неверно, то падаем в панику.

Просто все говорят, мол лучше без luks, а как это, я не вкуриваю. Ну или ссылкой кинь. Буду признателен

Без LUKS и ключа в моём случае, есть только параметры шифрования, есть пароль, никаких заголовков или файлов нигде хранить не надо. вся защита основана на длинном сложном пароле, который к сожалению надо вводить дважды и дважды правильно c первой попытки. Как защита от «спёрли/потерял ноут» меня вполне устраивает.

Делал по wiki https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Pla...

Шифруем раздел:

# cryptsetup --hash=sha512 --cipher=aes-xts-plain --offset=0 --key-size=256 open --type=plain /dev/sdX encroot

Дальше я в него положил btrfs (dd <my_old_partition> /dev/mapper/encroot), поэтому мне не надо было морочится с LVM

и дальше просто в параметрах загрузки ядра указал:

cryptdevice=PARTUUID=611dec3f-b869-4168-9cf6-a777416d3d5a:encroot:allow-discards crypto=sha512:aes-xts-plain:256:0: root=/dev/mapper/encroot rootflags=subvol=__active/ROOT rw

вот и всё, boot лежит отдельно незашифрованный, так как UEFI.

Если ты ввел пароль неверно, то оно «расшифруется», но на выходе получится каша. С этой кашей работать небезопасно, т.к. какой-нибудь демон может попытаться ее «пофиксить», в результате чего ты потеряешь данные. Ввод пароля два раза защищает от простых опечаток.

Просто все говорят, мол лучше без luks

Как раз наоборот - LUKS лучше, чем plain dm-crypt. Запомни тех, кто тебя обманывал, и больше никогда им не верь ^_^

ясно, ок спасибо. буду вводить 2 раза, благо не часто.

Об этом недостатке LUKS везде пишут ведь

LUKS оставляет свой заголовок английским по белому (0x4C554B53, «LUKS»).
LUKS это просто заголовок с метаданными. Можно в лоб использовать dmcryp.

Ты ведь из-за заголовков и не используешь LUKS?

LUKS оставляет свой заголовок английским по белому (0x4C554B53, «LUKS»).

Чем это недостаток? Белый шум на твоем диске сам по себе подозрителен, поэтому наличие хедера ни на что не влияет. Ну и ты можешь перезаписать хедер в любое время - там всего 2МБ.

LUKS это просто заголовок с метаданными. Можно в лоб использовать dmcryp.

Это не просто заголовок с метаданными. Он позволяет по крайней мере: 1) улучшить криптостойкость за счет использования PBKDF2; 2) иметь несколько ключей для расшифровки тома; 3) уничтожить возможность расшифровать данные без перезаписи всего тома.

Если не силен в криптографии - юзай LUKS.

нет не из-за этого, просто у меня задача: не дать утечь данным, если ноут потеряю, шум не шум, заголовок или нет, без разницы, с голым dm-crypt процедура показалась проще. по-этому так и сделал.

Подскажи, что за процедура с голым dm-crypt. Ссылочку или что-нибудь ещё.

С LUKS всё очень просто статья с хабра

Отписался же выше dmcrypt спрашивает пароль 2 раза при загрузке (комментарий)