2

Когда я настраивал некоторые зашифрованные разделы на моем компьютере с Debian, все было так просто. Я следовал некоторым инструкциям и использовал cryptsetup для создания зашифрованных разделов, теперь содержащих /home и /srv. Сама система (точка монтирования и загрузка) не была зашифрована.

Поведение при загрузке было:

  • Система запрашивает парольные фразы зашифрованных разделов.
  • Если введено правильно, система загрузилась и разделы были смонтированы, как указано в fstab.
  • Если пропущено или введено false три раза, система все равно загрузится в многопользовательском режиме, и разделы можно будет вручную разблокировать и смонтировать позже.

После некоторых обновлений - теперь это Джесси - поведение изменилось. Если парольные фразы опущены или указаны неправильно, система загружается в "аварийный режим" с запросом пароля root.

Я попробовал Google на этом, но все, что я нашел, не изменило это. Вы должны правильно ввести парольные фразы, иначе загрузка не удалась. Поскольку машина обычно работает в удаленном месте, где никто не знает достаточно среды, отличной от Windows, это нежелательно.

:# uname -a

Linux cypher 3.16.0-4-686-pae #1 SMP Debian 3.16.7-ckt11-1+deb8u3 (2015-08-04) i686 GNU/Linux

:# cat /etc/fstab

UUID=3c3fb5a8-ec8c-49d4-a36c-d3a39d321f49 /  ext3          user_xattr,errors=remount-ro 0  1
/dev/mapper/sda3_crypt  /home                ext4          usrquota,grpquota,user_xattr 0  2
/dev/mapper/sda4_crypt  /srv                 ext4          usrquota,grpquota,user_xattr 0  2
/dev/sda2               none                 swap          sw                           0  0
/dev/sr0                /media/cdrom0        udf,iso9660   user,noauto                  0  0

:# cat /etc/crypttab

sda3_crypt UUID=a89934ba-d90c-415d-b021-05be84995e8b none nofail
sda4_crypt UUID=4134177b-5622-4cef-9844-c83efad8d029 none nofail

Экспериментируя с различными опциями в crypttab, я всегда делал

update-initramfs -u -k all

перед попыткой следующей загрузки. Я даже не знаю, если это необходимо.

Я не знаю, что мне нужно сделать, чтобы выполнить "старое" поведение, и был бы счастлив, если бы кто-то мог сказать мне, что я ищу.


Чтобы ответить на комментарий StackAbstraction: Незашифрованный раздел подкачки является результатом недавней ошибки. Сначала это было зашифровано. По какой-то неизвестной причине он вдруг отказался быть разблокированным, что привело к неудачной загрузке. После переформатирования и настройки шифрования все должно было быть в порядке - но это не так. При любой загрузке я получал сообщение об "пропавшем LVM", и мне приходилось загружаться из Rescue, чтобы снова войти в систему.

Я не смог решить эту проблему, и поскольку причина шифрования больше предназначена для защиты хранимых данных, если физическое устройство было украдено из серверной комнаты, это не представляло такого высокого риска. Это также причина не защиты корневого раздела. Данные для защиты хранятся исключительно на зашифрованных разделах.

Комментарий, однако, не указывал на данный вопрос. В настоящее время я знаю о потенциальных рисках незашифрованного раздела подкачки и корневого раздела. Я не вижу, как переключение на группу томов решило бы проблему сбоя загрузки, если пароли не указаны, за исключением того, что, возможно, пароли для групп томов не запрашиваются при загрузке (что было бы нежелательным поведением) - я не знаю, если это будет правдой.

1 ответ1

1

Попробуйте добавить флаги nobootwait в записи fstab зашифрованных разделов.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .