Не думаю, на кой кому-то ключи на постоянно воткнутом USB устройстве? Это же как пароль, только хуже.

Согласен. Вся защита сводится к тому, что вломившийся ОМОН не знает, что ключ на флешке.

Ну почему же на постоянно воткнутом? Воткнул -> Загрузил -> Достал и убрал. Такой мой сетап, может что-то не так выше написал.

А не важно, вопрос остается тем же.

Мой стандартный пароль для системного диска составляет около 60 символов. Цифры, буквы, символы, все как надо. Мало того, что надоело его вводить каждый раз, иногда ошибаясь, так еще есть и риск его забыть. Ключи на USB - как минимум удобство, если все верно настроено. Склонировать это устройство и записать на пару дополнительных для сохранности никаких проблем не представляет.

Вся защита сводится к тому, что вломившийся ОМОН не знает, что ключ на флешке.

Да все они знают, не от них защита.

В данном конкретном случае все делается для большего удобства в первую очередь.

Ну так сократи его до 24 и дело с концом.

Нет

60 символов пароль от luks!? Ну, ты точно неуловимый джо. Твои данные 100% не представляют интереса для определённого круга лиц, а если будут нужны, то эти люди сделают так, что сам расскажешь. Уменьшай пароль до 8-16 символов. Сколько займёт перебор 12 символ ног пароля? Долгое время.............

Как это реализовано у вас?

Не через systemd, по-старинке через /etc/rc.local.

Давно не пользуюсь, и не знаю, насколько актуально, но в 2015-ом было так:

Сегодня я расскажу о том, как подружить Debian, systemd и расшифровку корня ключом на дисковом носителе. Вообще это элементарно, но только не в Debian.

Предположим, что наш ключ это раздел на флэшке /dev/disk/by-partlabel/rootkey, который можно тупо прочесть от начала до конца (оффсеты и прочие возможности cryptsetup systemd поддерживает, насчёт дебиановских костылей не знаю). Тогда в /etc/crypttab мы должны записать что-то типа

root /dev/disk/by-partlabel/debian /dev/disk/by-partlabel/rootkey luks,discard,keyscript=/usr/local/bin/keyscript

Вся суть здесь в keyscript — без него в initramfs просто ни хрена не добавится, и вам придётся чинить систему, хотя такой формат поддерживается везде. Везде, кроме дебиановского скрипта в initramfs. Сам скрипт обязательно должен быть исполняемым и в данном случае может выглядеть хотя бы так:

#!/bin/sh

until test -b $1; do
    sleep 1;
done
/bin/cat $1

Как видите, скрипт делает просто бессмысленную работу. Использовать дистрибутивный passdev не стоит даже если вас устроит ключ на ФС, потому что у этого хелпера свои требования к синтаксису поля с ключом, несовместимые с чем угодно другим, включая systemd После этого делаем update-initramfs и радоваемся.

Работало на 100%.

Спасибо, не видел этого мануала. Интересно, но сейчас менять уже не буду. Сохраню, может пригодится.

Если бы увидел раньше, застрял бы вот здесь:

dd if=$USBKEY bs=1 count=1024 | \

В любом случае, спасибо за первый ответ по теме.

Ты все равно не доживешь до конца подбора.

Спасибо, это видел, когда настраивал систему. Не понравилась необходимость создания каких-то левых и ненужных скриптов. К счастью, с systemd и passdev все-таки можно работать. Выручила, если не ошибаюсь, именно эта команда:

systemctl mask systemd-cryptsetup@sdb3_crypt.service

То, что вы с анонимусом предлагаете - всего лишь полумеры, защита от детей.

offtopic

• В Debian можно включить ключевой файл в initramfs при его сборке, погугли, чтобы найти ман, в каком это описано.
• Для init (sh-скрипт или systemd) в initramfs можешь написать скрипт, который будет делать все, что захочешь.

crosslink

USB загрузчик для линукс.

Так тебе как раз нужна защита от детей, в противном случае ты бы не задавал тут такой вопрос.

Угу. Я даже признаю, что знаю только полумеры и идею с заминированным корпусом сервера, а к этим придраться проблем нет.