Re: Несколько вопросов вразброс
09.06.2012 22:50, Artem Chuprina пишет:
> Артём Н. -> debian-russian@lists.debian.org @ Sat, 09 Jun 2012 18:49:55 +0400:
>
> АН> Есть два шифрованных диска. Используется LUKS. Пароли одинаковы.
> АН> Как _правильно_ сделать так, чтобы пароль не вводился два раза?
>
> АН> Ключевое слово - "правильно".
> АН> Я решил, но достаточно криво.
>
> ...
>
> АН> Но делать через cryptroot, думаю, не совсем правильно. Есть ли варианты лучше?
>
> У меня криптованный своп и рут на одном пароле сделаны по рецепту из
>
> /usr/share/doc/cryptsetup/README.initramfs.gz, раздел
> 9. The "decrypt_derived" keyscript
>
> Я не скажу сходу, что в твоем случае оно тоже сработает, но попробуй
> присмотреться. Подозреваю, что оно решает ровно эту задачу, но это
> более-менее штатное средство.
Посмотрел на скрипт. Он простой, но сходу, я не въезжаю, что он делает. ><
Судя по описанию:
'If cryptswap is used as your suspend/resume device, you'd normally need to
enter two different passphrases during the boot, but the "decrypt_derived"
script can generate the key for the second mapping using a hash of the key
for the first mapping.'
К тому же:
'WARNING: If you use the decrypt_derived keyscript for devices with persistent
data (i.e. not swap or temp devices), then you will lose access to that data
permanently if something damages the LUKS header of the LUKS device you derive
from.'
За указание спасибо. Я о такой штуке не знал. Всё-таки, радует то, что в
дистрибьютиве есть штатные средства.
Но у моего решения есть некоторый плюс: нет зависимости устройств. Нет никаких
ключей на базе хэшей предыдущего ключа (что, например, даёт возможность, зная
ключ основного устройства, получить ключ зависимого (хотя это и не так важно,
поскольку у меня например, одинаковые парольные фразы, но минус в том, что
парольную фразу легко сменить, а ключи нет)). Полностью независимые устройства и
ключи.
Меня смущает ещё и то, что пришлось делать через cryptroot, вообще. Ведь,
по-идее, корень у меня не шифрован... Тянет на костыль.
Reply to: