Re: luks dm-crypt von Passphrase auf Keyfile ändern, war: Dovecot Imap ...

[Sebastian Cabrera <scabrera-debian@portachtzig.de>]

> Bei mir muss ich im Moment beim booten immer die Passphrase manuell
> in der Console eingeben.
> Hat sich das schon wer angesehen, wo das über einen externen Speicher
> (USB-Stick) passieren kann? Also mit einen Keyfile statt einer Passphrase?

sagen wir mal es geht. Ich hab das damals in die initramfs-tools reingehackt...unter

/usr/share/initramfs-tools/scripts/local-top/

gibts das "cryptroot" script das für die entschlüsselung Zuständig ist.
Dort hab ich dann den USBStick mounten lassen und mit dem keyfile das auf dem Stick lag dann die plattenverschlüsselung aufgemacht.
Nach ändern des Scripts kann man nen update-initramfs laufen lassen und die änderungen sind aktiv.
Nachteil ist man muss bei jedem kernel-update aufpassen ob die Änderungen noch da sind und so weiter...
Ist jedenfalls nicht sehr schön. Eventuell gibts da mitlerweile bessere Möglichkeiten?!?

Ansonsten hättest du mit dropbear noch die möglichkeit per ssh shell die plattenvollverschlüsselung zu öffnen.
Dann brauchst du dafür zumindest keine Tastatur an dem Rechner/Server, falls es darum geht.

Grüße,

Sebastian