Когда я настраивал некоторые зашифрованные разделы на моем компьютере с Debian, все было так просто. Я следовал некоторым инструкциям и использовал cryptsetup для создания зашифрованных разделов, теперь содержащих /home и /srv. Сама система (точка монтирования и загрузка) не была зашифрована.
Поведение при загрузке было:
- Система запрашивает парольные фразы зашифрованных разделов.
- Если введено правильно, система загрузилась и разделы были смонтированы, как указано в fstab.
- Если пропущено или введено false три раза, система все равно загрузится в многопользовательском режиме, и разделы можно будет вручную разблокировать и смонтировать позже.
После некоторых обновлений - теперь это Джесси - поведение изменилось. Если парольные фразы опущены или указаны неправильно, система загружается в "аварийный режим" с запросом пароля root.
Я попробовал Google на этом, но все, что я нашел, не изменило это. Вы должны правильно ввести парольные фразы, иначе загрузка не удалась. Поскольку машина обычно работает в удаленном месте, где никто не знает достаточно среды, отличной от Windows, это нежелательно.
:# uname -a
Linux cypher 3.16.0-4-686-pae #1 SMP Debian 3.16.7-ckt11-1+deb8u3 (2015-08-04) i686 GNU/Linux
:# cat /etc/fstab
UUID=3c3fb5a8-ec8c-49d4-a36c-d3a39d321f49 / ext3 user_xattr,errors=remount-ro 0 1
/dev/mapper/sda3_crypt /home ext4 usrquota,grpquota,user_xattr 0 2
/dev/mapper/sda4_crypt /srv ext4 usrquota,grpquota,user_xattr 0 2
/dev/sda2 none swap sw 0 0
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0
:# cat /etc/crypttab
sda3_crypt UUID=a89934ba-d90c-415d-b021-05be84995e8b none nofail
sda4_crypt UUID=4134177b-5622-4cef-9844-c83efad8d029 none nofail
Экспериментируя с различными опциями в crypttab, я всегда делал
update-initramfs -u -k all
перед попыткой следующей загрузки. Я даже не знаю, если это необходимо.
Я не знаю, что мне нужно сделать, чтобы выполнить "старое" поведение, и был бы счастлив, если бы кто-то мог сказать мне, что я ищу.
Чтобы ответить на комментарий StackAbstraction: Незашифрованный раздел подкачки является результатом недавней ошибки. Сначала это было зашифровано. По какой-то неизвестной причине он вдруг отказался быть разблокированным, что привело к неудачной загрузке. После переформатирования и настройки шифрования все должно было быть в порядке - но это не так. При любой загрузке я получал сообщение об "пропавшем LVM", и мне приходилось загружаться из Rescue, чтобы снова войти в систему.
Я не смог решить эту проблему, и поскольку причина шифрования больше предназначена для защиты хранимых данных, если физическое устройство было украдено из серверной комнаты, это не представляло такого высокого риска. Это также причина не защиты корневого раздела. Данные для защиты хранятся исключительно на зашифрованных разделах.
Комментарий, однако, не указывал на данный вопрос. В настоящее время я знаю о потенциальных рисках незашифрованного раздела подкачки и корневого раздела. Я не вижу, как переключение на группу томов решило бы проблему сбоя загрузки, если пароли не указаны, за исключением того, что, возможно, пароли для групп томов не запрашиваются при загрузке (что было бы нежелательным поведением) - я не знаю, если это будет правдой.