Mehrere LUKS + dm_crypt-Datasets erfordern beim Booten mehrere Passphrasen

1048
jcea

Ich experimentiere mit LUKS + dm_crypt. Mein Setup ist ungefähr so: ein LVM-VG aus mehreren Physical Volumes (PV). Diese VG enthält mehrere LV (Logical Volumes), von denen die meisten über LUKS + dm_crypt (über cryptsetup) verschlüsselt sind.

Bei der Bearbeitung von "/ etc / crypttab" fordert das System für jede verschlüsselte LV eine Passphrase an. Da jedoch alle meine verschlüsselten LVs dieselbe Passphrase verwenden, möchte ich nur einmal (statt zwölfmal) aufgefordert werden (ich habe 12 verschlüsselte LVs).

Ich habe darüber nachgedacht, ein Skript zu schreiben, das in initrd enthalten ist und das Kennwort einmal abfragt, das Ergebnis irgendwo flüchtig speichert (Ramdisk?) Und dieses Kennwort für die restlichen "/ etc / crypttab" -Einträge angeben.

Dies erscheint jedoch komplex und fragil.

Ich frage mich, ob es etwas gibt, was ich vermisse oder auf andere Weise.

1

2 Antworten auf die Frage

1
Jamie

Dies könnte hilfreich sein: Einrichten eines verschlüsselten Debian-Systems

1
LawrenceC

Bewahren Sie die Schlüssel auf einem USB-Gerät oder einer SD-Karte auf. Verschlüsseln Sie dies mit einem in der initrd gespeicherten Schlüssel.

Schreiben Sie das Skript, um auf das Gerät oder die Karte zu warten, wenden Sie den gespeicherten Schlüssel an und ziehen Sie dann die restlichen Schlüssel von diesem Gerät ab.

Verwandte Probleme