Re: luks: key beim booten von verschlüsselter Partition benutzen
- To: debian-user-german@lists.debian.org
- Subject: Re: luks: key beim booten von verschlüsselter Partition benutzen
- From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Date: Sun, 30 Sep 2007 15:36:44 +0200
- Message-id: <[🔎] E1IbyyS-00020v-Ps@scyw00225.scy001.de>
- In-reply-to: <E1IEK5m-00084g-KQ@scyw00225.scy001.de>
- References: <46A890B5.6010705@gmx.net> <E1IE6kf-0008Po-HQ@scyw00225.scy001.de> <8Lfap-5fh-9@gated-at.bofh.it> <5gs7nkF3ic465U1@mid.individual.net> <E1IEA55-0005je-9E@scyw00225.scy001.de> <46A924C3.8070901@gmx.net> <E1IEK5m-00084g-KQ@scyw00225.scy001.de>
On Fri, 27 Jul 2007 09:18:30 +0200, Marc Haber
<mh+debian-user-german@zugschlus.de> wrote:
>On Fri, 27 Jul 2007 00:48:35 +0200, Andre Bischof <a.bischof@gmx.net>
>wrote:
>>Das ist ja genau meine Frage. Mit einem Key von einem unverschlüsselten
>>USB-Stick arbeiten geht, klar. Aber ich möchte gern einen Key von einer
>>verschlüsselten Partition direkt beim Booten benutzen - mal abgesehen
>>davon das ich gar keinen USB-Stick habe.
>
>Das wirst Du wohl manuell in mkinitramfs hineinhacken müssen. Ich
>halte diese Anwendung aber für hinreichend sinnvoll, dass sich ein
>wishlist-Bug lohnen könnte.
Das funktioniert auch nativ. Ich habe das jetzt mal bauen müssen, weil
ein aus Altteilen zusammengesetzter Rechner nicht von USB-Stick booten
kann.
Lösungsweg für unstable:
- PV anlegen
- VG anlegen
- verschlüsselte LVs (ich hab das hier als c_foo gemacht) anlegen
- luksFormat für alle LVs durchführen (Die Passworte für die LVs
können ruhig eklig sein, man braucht nur das Passwort für die
root-LV).
- Keyscript nach /etc/foo legen, mit dessen Hilfe die anderen LVs
aufgeschlossen werden können (testen: /etc/keyscript-foo |
cryptsetup --key-file=- luksOpen /dev/mapper/c_foo foo)
- /etc/crypttab anlegen, mit "none luks" für die root-LV und "none
luks,keyscript=/etc/keyscript-foo" für die anderen LVs
- cryptsetup installieren nicht vergessen ;)
- prüfen, ob in der Kernelkommandozeile root=/dev/mapper/vg-root_lv
(nicht die Node in /dev/vg/root_lv) steht
- initramfs neu bauen
Beim darauf folgendem Boot fragt das System nach dem Passwort für die
root-LV und schließt die anderen LVs dann mit dem auf der root-LV
gefundenen Keyscript auf.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: