В настоящее время я пытаюсь добиться полного шифрования диска с использованием dm-crypt в обычном режиме без заголовка LUKS с отдельным /boot
USB-накопителем.
Моя главная цель - добиться правдоподобного отрицания в дистрибутиве на основе Debian. На данный момент мне удалось зашифровать разделы с помощью cryptsetup
и установить /boot
раздел на отдельный USB-ключ. Все идет как надо, и поскольку заголовок для шифрования не хранится в LUKS, мне нужно вручную ввести его на экране initramfs, но на этом шаге я просто получаю сообщение об ошибке, которое указывает, что в initramfs нет cryptsetup ("/ bin / sh: cryptsetup: not found ") при попытке разобрать заголовок.
В заключении:
dev/sda
зашифрованы с использованиемdm-crypt
(/root
и/home
томов) с:
cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda
dev/sdb
загрузочная флешка с установленным grub
Я могу успешно загрузиться с начальной загрузки. Я вижу заставку Ubuntu в течение примерно 20 секунд, чего я и хотел добиться для правдоподобного отрицания, а затем он падает до initramfs с жалобой на невозможность найти /dev/mapper/root
- что я тоже хотел достичь.
Проблема в том, что когда я хочу проанализировать строку cryptsetup, которая позволила бы мне ввести пароль и продолжить загрузку, тогда initramfs жалуется на «cryptsetup: not found».
Я думаю, что эта жалоба верна. У меня вопрос: как установить cryptsetup в initramfs, чтобы он позволял загружаться для запроса пароля?
Кроме того, я знаю, что я пропускаю что-то, добавляя соответствующие записи /etc/fstab
, /etc/crypttab
и устройства не обнаруживаются при запуске.
Это руководства, которые я нашел и использовал для настройки всех текущих настроек, может быть, это прояснит то, что я не затронул в своем вопросе:
- http://and1equals1.blogspot.ro/2009/10/encrypting-your-hdd-with-plausible.html
- https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Plain_dm-crypt
Первый немного устарел, а второй - для Arch Linux, но я использовал два из них с новейшей установкой Lubuntu с небольшими изменениями.
источник
Ответы:
Согласно initramfs-tools (8) , можно добавить программы к образу initrd, добавив, например, следующее в скрипт подключения :
Примеры скриптов хуков можно найти в
/usr/share/initramfs-tools/hooks
моей системе Ubuntu и на ней,/usr/share/initramfs-tools/hooks/cryptroot
это действительно добавление/sbin/cryptsetup
кinitrd
изображению.Пример:
источник