Ich habe vor kurzem Ubuntu Server 11.04 mit der vollen Lvm-Verschlüsselung installiert (installiert vom Setup). Ich möchte jetzt eine Schlüsseldatei zum automatischen Entsperren verwenden. Ich habe versucht, diesem Leitfaden zu folgen: http://ubuntuforums.org/showthread.php?t=837416

Mit diesem Befehl habe ich einen Schlüssel generiert: sudo dd if=/dev/urandom of=/boot/grub/keyfile bs=1024 count=4

Ich habe es eingefügt, /boot/grubweil ich denke, dass es nicht verschlüsselt ist. Wenn ich versuche, den Schlüssel mit diesem Komma hinzuzufügen sudo cryptsetup luksAddKey /dev/sdX /boot/grub/keyfile , fragt es mich nach der Passphrase und wenn ich es stelle, passiert nichts, nichts wird auf dem Bildschirm gedruckt! Ich ignoriere es und fahre mit den anderen Schritten fort und starte neu, aber es ist nichts passiert und ich werde nach der Passphrase gefragt.

Danke für die Hilfe .

Ich habe das gerade auf meinem neuen Heimserver durchgemacht, es hat viel gegoogelt und geraten, aber ich habe es zum Laufen gebracht. Ich werde versuchen, die Schritte hier zu reproduzieren. Ich verwende Ubuntu Server 11.10 und habe mit einer Standardinstallation unter Verwendung von verschlüsseltem LVM begonnen. Daher beziehe ich mich nur auf die Änderungen, die ich von dort aus vorgenommen habe.

Installieren:

• / dev / sda1 ist meine unverschlüsselte / boot Partition
• / dev / sda5 ist meine lvm-Partition, die alles andere enthält - root, swap und home
• / dev / sdc1 ist die Partition auf meinem USB-Stick, in der ich die Schlüsseldatei speichern werde

Zuerst habe ich eine Schlüsseldatei in meinem Home-Verzeichnis erstellt:

dd if=/dev/urandom of=keyfile bs=512 count=4

(Sie können eine größere Blockgröße verwenden oder für einen größeren Schlüssel zählen)

Teilen Sie cryptsetup den neuen Schlüssel mit (der Inhalt ist wichtig, nicht der Dateiname):

sudo cryptsetup luksAddKey /dev/sda5 keyfile

Dann habe ich meinen USB-Stick mit ext2 formatiert und ihm ein Etikett gegeben. Ich habe ein Etikett verwendet, damit ich es später per Etikett anbringen und das USB-Flash-Laufwerk ersetzen kann, falls etwas schief geht.

sudo mkfs -t ext2 /dev/sdc1
sudo e2label /dev/sdc1 KEYS

(Natürlich wird Ihr Gerät variieren)

Kopieren Sie nun die Schlüsseldatei auf das USB-Flash-Laufwerk, das sich im Root-Modus 400 befindet:

mkdir KEYS
sudo mount /dev/sdc1 KEYS
sudo cp keyfile KEYS
sudo chown root KEYS/keyfile
sudo chmod 400 KEYS/keyfile

Ändern Sie / etc / crypttab. Meins ursprünglich enthalten

sd5_crypt UUID=(...) none luks

was ich geändert habe

sd5_crypt UUID=(...) /dev/disk/by-label/KEYS:/keyfile luks,keyscript=/lib/cryptsetup/scripts/passdev

Aktualisieren Sie abschließend die initramfs:

sudo update-initramfs -uv

Es wird nun über die Schlüsseldatei auf dem USB-Stick gestartet. Wenn ich das Flash-Laufwerk entferne (z. B. wenn ich in den Urlaub fahre), bootet es nicht und meine Daten sind sicher.

Wenn jemand weiß, wie er die Passphrase erfragen kann, wenn das USB-Flash-Laufwerk fehlt, ist dies ein nützlicher Fallback. Hoffe das hilft, Ergänzungen oder Korrekturen wären mehr als willkommen!

Diese Anweisungen von howtoforge.com haben mich mit einem automatisch entschlüsselten Volume zum Laufen gebracht.

Gewusst wie: Automatisches Entsperren von LUKS-verschlüsselten Laufwerken mit einer Schlüsseldatei

Schritt 1: Erstellen Sie eine zufällige Schlüsseldatei

sudo dd if=/dev/urandom of=/root/keyfile bs=1024 count=4

Schritt 2: Machen Sie die Schlüsseldatei schreibgeschützt auf root

sudo chmod 0400 /root/keyfile

Dadurch kann die Schlüsseldatei nur von root gelesen werden. Wenn jemand Zugriff auf diese Schlüsseldatei erhält, liegt auf Ihrem Computer ohnehin ein größeres Problem vor.

Alternativ können Sie die gewünschte Schlüsseldatei in root: root anzeigen und in den Ordner / root verschieben

Schritt 3: Fügen Sie die Schlüsseldatei zu LUKS hinzu

LUKS / dm_crypt-fähige Geräte können bis zu 10 verschiedene Schlüsseldateien / Kennwörter enthalten. Neben dem bereits eingerichteten Kennwort wird diese Schlüsseldatei als zusätzliche Autorisierungsmethode hinzugefügt.

sudo cryptsetup luksAddKey /dev/sdX /root/keyfile

sdX ist natürlich dein LUKS-Gerät.

Zuerst werden Sie aufgefordert, ein (vorhandenes) Kennwort einzugeben, um das Laufwerk zu entsperren. Wenn alles gut funktioniert, sollten Sie eine Ausgabe wie diese erhalten:

Enter any LUKS passphrase:
key slot 0 unlocked.
Command successful.

Schritt 4: Erstellen Sie einen Mapper

LUKS-Geräte müssen einen Mapper erstellen, auf den in der fstab verwiesen werden kann. Öffnen Sie / etc / crypttab

sudo nano /etc/crypttab

und füge dann eine Zeile wie diese hinzu:

sdX_crypt      /dev/sdX  /root/keyfile  luks

oder Sie können die UUID des Geräts verwenden:

sdX_crypt      /dev/disk/by-uuid/247ad289-dbe5-4419-9965-e3cd30f0b080  /root/keyfile  luks

sdX_crypt ist der Name des Mapper, der erstellt wird. Sie können hier einen beliebigen Namen verwenden, zB "music" oder "movies" oder "sfdsfawe" ....

Speichern und schließen Sie die Datei, indem Sie die Tastenkombination Strg-x drücken, die Eingabetaste drücken und die Eingabetaste drücken. Strg-x schließt nano, aber zuerst wird gefragt, ob die Datei gespeichert werden soll [yes = enter] und wie der Name lauten soll [same name = enter].

Was wir dort getan haben, ist zu sagen, dass / root / keyfile anstelle der Passworteingabe zum Entsperren des Laufwerks verwendet werden soll.

Schritt 5: Hängen Sie das Gerät in fstab ein

Jetzt haben wir ein entsperrtes Gerät (nun ja, noch nicht, aber wenn das System hochgefahren wird) und müssen es nur noch mounten. Öffne / etc / fstab:

sudo nano /etc/fstab

und füge einen neuen Eintrag hinzu wie:

/dev/mapper/sdX_crypt  /media/sdX     ext3    defaults        0       2

Stellen Sie sicher, dass Sie den richtigen Mapper-Namen haben, den Sie in Schritt 4 hinzugefügt haben. Stellen Sie außerdem sicher, dass der Mount-Punkt / Ordner vorhanden ist. Speichern Sie die hinzugefügte Datei erneut und schließen Sie sie (Strg-x, Enter, Enter).

Schritt 6: Neu starten oder erneut einbinden

Das ist es. Jetzt können Sie neu starten und die zusätzlichen Geräte sollten automatisch entsperrt und gemountet werden. Sie können es auch testen, indem Sie alle Geräte erneut einbinden:

sudo mount -a

Die Antwort von Randy Orrison wurde verbessert. Hier ist ein kleines Skript, das ich erstellt habe. Es wird dazu führen, dass das System den Benutzer nach dem Kennwort fragt, wenn die Schlüsseldatei nicht gefunden wird.

#!/bin/sh

ask_for_password () {
    cryptkey="Unlocking the disk $cryptsource ($crypttarget)\nEnter passphrase: "
    if [ -x /bin/plymouth ] && plymouth --ping; then
        cryptkeyscript="plymouth ask-for-password --prompt"
        cryptkey=$(printf "$cryptkey")
    else
        cryptkeyscript="/lib/cryptsetup/askpass"
    fi
    $cryptkeyscript "$cryptkey"
}

device=$(echo $1 | cut -d: -f1)
filepath=$(echo $1 | cut -d: -f2)

# Ask for password if device doesn't exist
if [ ! -b $device ]; then
    ask_for_password
    exit
fi

mkdir /tmp/auto_unlocker
mount $device /tmp/auto_unlocker

# Again ask for password if device exist but file doesn't exist
if [ ! -e /tmp/auto_unlocker$filepath ]; then
    ask_for_password
else
    cat /tmp/auto_unlocker$filepath
fi

umount /tmp/auto_unlocker

Speichern Sie es und ersetzen keyscript=/lib/cryptsetup/scripts/passdevin /etc/crypttabden Pfad zu dieser Datei und laufen sudo update-initramfs -uvund Sie sind fertig.

@deitch Ich hatte das gleiche Setup wie @Randy Orrison und bin auf dasselbe Problem gestoßen wie Sie. Es stellt sich heraus, dass es sich um einen Fehler von systemd handelt, der versucht, das / Dateisystem erneut zu mounten, wenn der entsprechende Eintrag in / etc / crypttab gefunden wird.

Um dieses Problem zu beheben, habe ich den Eintrag für sda5_crypt aus / etc / crypttab entfernt, nachdem der Befehl update-initramfs -uv ausgeführt wurde.

Starten Sie neu und alles funktioniert einwandfrei wie beabsichtigt.