Полное шифрование диска с помощью dm-crypt (без LUKS)

Question

В настоящее время я пытаюсь добиться полного шифрования диска с использованием dm-crypt в обычном режиме без заголовка LUKS с отдельным /boot на USB-накопителе. Основная цель этого - добиться правдоподобного отрицания в дистрибутиве Debian Linux. На данный момент мне удалось зашифровать разделы с помощью cryptsetup и установить / загрузить раздел для разделения USB-ключа. Все идет как надо, и поскольку заголовок для шифрования не хранится в LUKS, мне нужно вручную ввести его на экране initramfs, но на этом шаге я просто получаю сообщение об ошибке, указывающее, что в initramfs нет cryptsetup (/ bin / sh: cryptsetup: not нашел) пока пытаюсь разобрать шапку. В заключение:

1. dev/sda зашифрован с использованием dm-crypt (/root и /home volume) с

cryptsetup --hash = sha512 --cipher = twofish-xts-plain64 создать crypt /dev /sda

2. загрузочная флешка dev/sdb с grub

Я успешно загружаюсь с bootstick, я вижу заставку Ubuntu в течение примерно 20 секунд, чего я и хотел добиться для вероятного отрицания, а затем id падает на initramfs с жалобой на невозможность найти /dev /mapper /root, что я тоже хотел achive. Проблема в том, что когда я хочу проанализировать строку cryptsetup, которая позволила бы мне ввести пароль и продолжить загрузку, тогда initramfs жалуется на abotu cryptsetup: not found

Я думаю, что эта жалоба правда. Мой вопрос заключается в том, как установить cryptsetup в initramfs, так как это позволит выполнить дополнительную загрузку пароля. Также я знаю, что я пропускаю что-то, добавляя соответствующие записи в /etc /fstab, /etc /crypttab, и устройства не обнаруживаются при запуске.

Я очень извиняюсь за все, что здесь не ясно. Я всего лишь средний пользователь Unix с некоторыми базовыми знаниями системы, но любая помощь будет очень ценной.

Благодарю вас!

Это руководства, которые я нашел и использовал для настройки всех текущих настроек, возможно, это прояснит то, о чем я не писал в посте.

http://and1equals1.blogspot.ro/2009/10/encrypting-your-hdd-with-plausible.html https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Plain_dm-crypt

Первый немного устарел, а второй подходит только для Arch Linux, но я использовал два из них с новейшей установкой lubuntu с небольшими изменениями.

Answer 1

Я являюсь автором http://and1equals1.blogspot.com/2009/10/encrypting-your-hdd-with-plausible.html и уже давно хотел обновить его, поскольку заметил, что это не так. работать с более свежими дистрибутивами. Вот что я обнаружил до сих пор:

В системе Ubuntu 14.04, использующей LUKS и LVM, в /usr /share /initramfs /hooks есть файл cryptroot, который, как я считаю, должен копировать /sbin /cryptsetup в initramfs (через функцию copy_exec) при вызове mkinitramfs. При запросе к базе данных dpkg этот файл является частью пакета cryptsetup, который явно установлен как один из последних шагов в моем руководстве перед установкой grub. Я не до конца понимаю, почему это не так в initramfs, встроенных в вашу систему.

Я посмотрю на это, как только позволит время, но вот что я хотел бы предложить, если вы хотите продолжать заниматься этим:

1. Ищите исполняемый файл в другом месте, кроме $ PATH, в initramfs, если вы еще этого не сделали. Я думаю, что это скопировано в /sbin / в initramfs, и я не знаю, находится ли это в пути.

2. Во время создания образа, например, когда он предлагает установить grub, переключитесь на второй терминал (Alt-F2) и убедитесь, что скрипт / target / usr / share / initramfs / hooks / cryptroot есть и / target /sbin / cryptsetup как хорошо.

3. Выясните формат сценария перехвата достаточно хорошо, чтобы явно скопировать двоичный файл в initramfs, возможно, в качестве нового имени (в любом случае может быть лучше для вероятного отрицания). Создайте его и запустите «update-initramfs -u -v | less», чтобы обновить последние initramfs ядра (для проверки выполните поиск в cryptsetup) и «update-grub» на всякий случай. Убедитесь, что ваша загрузочная флешка установлена и / boot монтируется, когда вы делаете это, конечно.

4. Возможно, вы захотите поиграть с удалением / usr / share / initramfs / scripts / local-top / cryptroot (например, возможно, удалите его), так что для кого-то, кто загружается с загрузочной флешки, не так очевидно, что он ожидает зашифрованный раздел. Это может сделать его больше похожим на простую спасательную палку.

Когда у меня будет время, я посмотрю, смогу ли я заставить это работать на Ubuntu 14.04, и создам новый пост в блоге. Я добавлю здесь ссылку на все, что я делаю, так как по трафику, который генерирует это, вы не единственный, кто ищет что-то подобное ...