Ich versuche derzeit, eine vollständige Festplattenverschlüsselung mit dm-crypt im einfachen Modus ohne LUKS-Header mit einem separaten /boot
USB-Stick zu erreichen.
Mein Hauptziel ist es, eine plausible Verleugnung in einer Debian-basierten Distribution zu erreichen. Im Moment habe ich es geschafft, Partitionen mit einem separaten USB-Stick zu verschlüsseln cryptsetup
und /boot
auf einem separaten USB-Stick zu installieren . Alles läuft wie es sollte und da der Header für die Verschlüsselung nicht in LUKS gespeichert ist, muss ich ihn manuell auf dem initramfs-Bildschirm eingeben, aber in diesem Schritt erhalte ich einfach eine Fehlermeldung, die angibt, dass in initramfs ("/ bin /" kein Cryptsetup vorhanden ist sh: cryptsetup: not found ") beim Versuch, den Header zu analysieren.
Abschließend:
dev/sda
verschlüsselt mitdm-crypt
(/root
und/home
Volumes) mit:
cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda
dev/sdb
Boot-Stick mit installiertem Maden
Ich kann erfolgreich vom Bootstick booten. Ich sehe den Ubuntu-Begrüßungsbildschirm für ungefähr 20 Sekunden, was ich für eine plausible Verleugnung erreichen wollte, und dann fällt er auf die Initramfs, die sich darüber beschweren, dass sie nicht finden können /dev/mapper/root
- was ich auch erreichen wollte.
Das Problem ist, dass sich das initramfs über "cryptsetup: not found" beschwert, wenn ich die Cryptsetup-Zeile analysieren möchte, in der ich ein Kennwort eingeben und mit dem Booten fortfahren kann.
Ich denke, diese Beschwerde ist wahr. Meine Frage ist: Wie installiere ich cryptsetup in den initramfs, damit ein weiteres Booten für die Passwortabfrage möglich ist?
Außerdem weiß ich , dass ich etwas ausgelassen mit Zugabe der entsprechenden Einträge in /etc/fstab
, /etc/crypttab
und Geräte werden nicht während des Starts gefunden.
Dies sind die Anleitungen, die ich gefunden und zum Einrichten aller aktuellen Konfigurationen verwendet habe. Vielleicht werden dadurch Dinge geklärt, die ich in meiner Frage nicht behandelt habe:
- http://and1equals1.blogspot.ro/2009/10/encrypting-your-hdd-with-plausible.html
- https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Plain_dm-crypt
Der erste ist etwas veraltet und der zweite ist für Arch Linux, aber ich habe zwei davon mit der neuesten Lubuntu-Installation mit kleinen Anpassungen verwendet.
quelle
Antworten:
Gemäß initramfs-tools (8) kann man dem initrd-Image Programme hinzufügen, indem man beispielsweise einem Hook-Skript Folgendes hinzufügt :
Beispiel-Hook-Skripte, die in
/usr/share/initramfs-tools/hooks
und auf meinem Ubuntu-System zu finden sind,/usr/share/initramfs-tools/hooks/cryptroot
ergänzen/sbin/cryptsetup
dasinitrd
Image tatsächlich .Beispiel:
quelle