Pasang volume terenkripsi dari baris perintah?

Jika saya memiliki disk eksternal terenkripsi (atau disk internal yang tidak ada di fstab), saya melihat entri untuknya di Nautilus - dengan entri seperti "Volume Terenkripsi X GB". Saya dapat mengklik volume ini, dan saya diminta kata sandi untuk mendekripsi dan memasang perangkat.

Tetapi bagaimana saya melakukan ini dari baris perintah?

Halaman wiki ini , dan dokumen lain yang dapat saya temukan, hanya merujuk pada metode GUI mendekripsi perangkat; tetapi ini tidak akan dilakukan dalam konteks server tanpa kepala atau login SSH. Apakah ada cara sederhana untuk membuat perangkat dipasang ke lokasi otomatis /mediaseperti yang akan mereka lakukan dengan GUI?

(Saya tidak bertanya tentang direktori home terenkripsi - Saya sadar ecryptfs-mount-private. Pertanyaan ini tentang volume terenkripsi tambahan.)

Langkah-langkah dalam jawaban @ Georg Schölly tidak bekerja untuk saya pada saat itu, meskipun mereka mungkin bekerja sekarang, beberapa rilis Ubuntu setelahnya. Saat itu, setelah sudo mount /dev/mapper/my_encrypted_volume /media/my_devicelangkah saya mendapat kesalahan:

mount: tipe sistem file tidak dikenal 'LVM2_member'

Membuka kunci dan memasang disk dengan udiskctl

Sebagai gantinya, saya menggunakan udisksctl, antarmuka baris perintah yang berinteraksi dengan udisksdlayanan.

Inilah yang berhasil ( /dev/sdb5apakah partisi pada hard disk saya ditandai sebagai crypt-luks):

udisksctl unlock -b /dev/sdb5
udisksctl mount -b /dev/mapper/ubuntu--vg-root

Setelah mengetik perintah pertama, Anda akan diminta frasa sandi enkripsi Anda. Setelah partisi terenkripsi dibuka, perintah kedua akan memasangnya. Jika itu berhasil, Anda akan berakhir dengan pesan yang mirip dengan ini:

Mounted /dev/dm-1 at /media/dpm/e8cf82c0-f0a3-41b3-ab28-1f9d23fcfa72

Dari sana saya bisa mengakses data :)

Mengunci disk dengan udiskctl

Lepaskan perangkat:

udisksctl unmount -b /dev/mapper/ubuntu--vg-root

Anda harus menonaktifkan semua volume logis dalam ubuntu-vggrup volume terlebih dahulu. Kalau tidak, Anda akan mendapatkan kesalahan di sepanjang baris 'Perangkat sibuk' jika Anda mencoba menguncinya ( info lebih lanjut ):

sudo lvchange -an ubuntu-vg

Maka Anda akan dapat mengunci kembali partisi yang dienkripsi

udisksctl lock -b /dev/sdb5

Catatan

• The udisksctlperintah yang dieksekusi tanpa sudo .

• Nama perangkat mapper : the ubuntu--vg-rootpenamaan mungkin berubah di rilis Ubuntu (misalnya saya sudah melihatnya disebut system-rootdan ubuntu-rootjuga). Cara mudah untuk mengetahui namanya adalah dengan menjalankan perintah berikut setelah membuka kunci partisi LUKS :

  ls -la /dev/mapper

  Kemudian melihat output dari lsperintah, nama yang Anda perlukan akan secara umum disinkronkan/dev/dm-1

• Nama perangkat mapper, alternatif : alternatif untuk perintah sebelumnya adalah menjalankan:

  lsblk -e7

  Di sana Anda akan dapat melihat pemetaan nama perangkat sebagai tampilan hierarki. The -e 7opsi digunakan untuk mengecualikan perangkat lingkaran (ID 7) yang dibuat oleh terkunci diinstal dari output. Cukup memiliki lebih sedikit kekacauan.

• Nama volume logis : Anda dapat menjalankan sudo lvsperintah untuk mencari tahu nama grup volume dan volume logis
• Aplikasi Disk : aplikasi Disk GNOME tidak secara otomatis menonaktifkan volume logis sebelum mengunci partisi. Bahkan jika Anda telah berhasil membuka kunci partisi melalui GUI, Anda harus pergi ke baris perintah dan menjalankan sudo lvchange -an ubuntu-vgperintah sebelum Anda dapat menguncinya dari GUI.

Volume Anda mungkin dienkripsi dengan LUKS, berikut cara memasangnya:

Anda membutuhkan:

sudo apt-get install cryptsetup

Untuk mendekripsi volume:

sudo cryptsetup luksOpen /dev/sda1 my_encrypted_volume

Sekarang Anda bisa memasangnya seperti biasa:

sudo mkdir /media/my_device
sudo mount /dev/mapper/my_encrypted_volume /media/my_device

Untuk mengunci wadah lagi, perlu dilepas dahulu:

sudo umount /media/my_device
sudo cryptsetup luksClose my_encrypted_volume

Untuk secara otomatis meletakkannya di /medialokasi, gunakan alat udisks

sudo udisks --mount /dev/mapper/my_encrypted_volume

Jika Anda mendapatkan kesalahan ini:

mount: unknown filesystem type 'LVM2_member'

Lari:

sudo apt-get install lvm2
sudo lvscan

kemudian aktifkan semua LVM yang Anda lihat

sudo vgchange -ay

kemudian jalankan kembali mount:

sudo mount /dev/mapper/my_encrypted_volume /media/my_device

Satu masalah yang saya temui adalah duplikat grup volume : Baik sistem pemulihan saya dan drive yang akan dipulihkan adalah sistem ubuntu dengan LVM. Inilah sebabnya mengapa saya memiliki dua ubuntu-vggrup volume ( vgdisplayakan menampilkan keduanya, masing-masing dengan UUID mereka sendiri, tetapi saya tidak dapat mengakses volume logis mereka).

Solusi saya dibangun berdasarkan jawaban Georg:

• Boot live-linux (sehingga Anda tidak mengalami duplikat nama grup volume)
• sudo cryptsetup luksOpen /dev/sdaX my_encrypted_volume
• masukkan frasa sandi Anda saat diminta

• sudo vgscan sekarang harus mengambil volume / grup yang terkandung.

• NAGA KE DEPAN: KITA SEKARANG MENGUBAH NAMA KELOMPOK VOLUME. ANDA TIDAK AKAN MAMPU MEMBUAT DRIVE SETELAH ITU!

  gunakan sudo vgrename ubuntu-vg ubuntu-vg2untuk mengganti nama grup volume.

  Jika Anda perlu mem-boot dari drive itu, Anda dapat melakukan langkah-langkah ini lagi, tetapi ganti nama grup volume Anda kembali ke ubuntu-vg. Kemungkinan lain adalah mengubah konfigurasi boot Anda ke vg-name baru.

Sekarang duplikat vg-name teratasi, saya dapat mem-boot kembali ke sistem reguler saya, mengulang cryptsetup..., vgscandan kemudian me-mount di /dev/mapper/ubuntu--vg2-rootmana pun Anda suka.

sdb1 di sini adalah contoh Anda harus memasukkan nama perangkat Anda, tidak ada perintah ini akan memerlukan hak root

membuka kunci disk terenkripsi

udisksctl unlock -b /dev/sdb1

setelah memasukkan frasa sandi yang benar itu akan menampilkan sesuatu seperti ini: Tidak terkunci / dev / sdb1 as / dev / dm-3

kemudian pasang ke / media /

udisksctl mount -b /dev/dm-3

seharusnya menampilkan sesuatu seperti ini: Mounted / dev / dm-3 di / media / yourUserName / sdb

untuk melepasnya

udisksctl unmount -b /dev/dm-3

untuk menguncinya lagi

udisksctl lock -b /dev/sdb1

Semua jawaban di atas mengambil asumsi bahwa pengguna sudah tahu partisi mana yang dienkripsi. Berasal dari seseorang yang tidak begitu menyukai baris perintah, saya mengharapkan jawaban yang ramah pengguna ... Jadi 2 sen saya di sini.

1. Buka aplikasi "disk" dari ubuntu.
2. Temukan hard disk yang terpasang di panel kiri.
3. Klik pada partisi yang memiliki "LUKS" dalam namanya: dengan cara ini Anda dapat melihat titik pemasangannya di teks "Perangkat" di bawah ini (dalam kasus saya:) /dev/sdb4.

Kemudian saya mencoba me-mount seperti yang disarankan di atas:

$ sudo cryptsetup luksOpen /dev/sdb4 someNameForMyVolume
Enter passphrase for /dev/sdb4: 

Tetapi ada kesalahan ini:

Cannot use device /dev/sdb4 which is in use (already mapped or mounted).

Ok, jadi saya kira nautilus sudah mencoba me-mount-nya (karena itu benar-benar meminta saya untuk kata sandi ketika saya menghubungkan USB, bahkan jika pada akhirnya tidak menunjukkan pohon yang didekripsi). Namun, pesan kesalahan tidak terlalu membantu karena tidak memberi tahu saya di mana sudah dipetakan / dipasang. Tetapi perintah ini membantu dalam hal ini:

$ udisksctl unlock -b /dev/sdb4
Passphrase: 
Error unlocking /dev/sdb4: GDBus.Error:org.freedesktop.UDisks2.Error.Failed: Device /dev/sdb4 is already unlocked as /dev/dm-3

Aha! Jadi begitu /dev/dm-3.

Namun ketika mencoba memasangnya, itu tidak berhasil:

$ udisksctl mount -b /dev/dm-3
Object /org/freedesktop/UDisks2/block_devices/dm_2d3 is not a mountable filesystem.

Setelah banyak mengutak-atik, saya menemukan bahwa saya mengalami duplicate volume groupsmasalah (dijelaskan di atas oleh @amenthes) karena perintah sudo vgscan -vdan sudo vgdisplaymenunjukkan dua entri dengan nama grup volume yang sama. Namun, saya menemukan cara yang lebih baik untuk menghadapinya daripada metodenya (tidak perlu boot ke LiveCD untuk mengganti nama volumegroup!), Di tautan ini , yang akan saya kutip di atas (kalau-kalau tautannya rusak ...) :

Jika Anda menjalankan, ls -la /dev/mapper/Anda akan melihat luks-xxxxxx-xxxxx-xxxxfile tersebut. Itulah pemetaan yang dibuat ketika Ubuntu meminta kata sandi enkripsi dengan dialog tetapi gagal membukanya (semua dialog lakukan adalah memanggil luksOpendan memetakannya ke file / dev / mapper / luks-xxx). Sekarang:

1. Pastikan volume fisik Anda tersedia dengan menjalankan sudo pvdisplayperintah. Seharusnya / dev / mapper / luks-xxx-terserah.
2. Dapatkan uuid volume dengan menjalankan sudo pvs -o +vg_uuid. Uuid akan menjadi nilai yang ditampilkan sepanjang jalan ke kanan, berisi 7 nilai batas-dasbor. Salin di suatu tempat karena kami akan menggunakannya di langkah berikutnya JANGAN BINGUNG UUID DAN SALINKAN YANG SALAH. Hanya salin satu untuk perangkat / dev / mapper / luks-xxx-apa pun saat ini.
3. Mengubah grup volume untuk disk lama Anda dengan menjalankan perintah berikut sudo vgrename UUIDOFYOURDISKHERE oldhdAnda dapat mengubah "oldhd" menjadi apa pun yang Anda inginkan asalkan berbeda dari nama grup volume disk saat ini. Melakukan langkah ini menghilangkan konflik dengan nama grup volume yang akan memungkinkan Anda sekarang membuat volume tersedia.
4. Jalankan perintah vgchange -a yuntuk mengaktifkan volume.
5. Buat folder untuk titik mount di suatu tempat, misalnya: sudo mkdir /media/<yourUserName>/someDir
6. Mount: sudo mount /dev/oldhd/root /mnt/oldhd.
7. Setelah bekerja dengan file Anda, Anda harus mengganti nama volumegroup Anda kembali ubuntu-vgjika Anda ingin volumenya tetap dapat di-boot.

Bagi kita yang tidak ingin menggunakan alat GUI bahkan untuk menentukan partisi mana yang dienkripsi.

• temukan partisi terenkripsi

  lsblk -lf | grep LUKS
  

  -lmeminta format "daftar" - kita tidak perlu pohon
  -fmenunjukkan kepada kita nama sistem file juga
  kita mendapatkan sesuatu seperti

  sdc2 crypto_LUKS b09d6209-......

• buka kunci partisi yang kita inginkan (dalam kasus saya /dev/sdc2)

  udisksctl unlock -b /dev/sdc2
  

  -bberarti bahwa kami memberikan jalur ke perangkat blok
  setelah memasukkan frasa sandi, kami mendapatkan respons positif dengan informasi yang diperlukan untuk langkah selanjutnya:

  Unlocked /dev/sdc2 as /dev/dm-6

• pasang perangkat yang baru dibuat ( dmsingkatan dari manajer perangkat )

  udisksctl mount -b /dev/dm-6
  

  Sekali lagi kami mendapatkan respons positif dengan info berguna:

  Mounted /dev/dm-6 at /media/g/Data.

  ( gmenjadi nama pengguna saya di sistem ini, Dataadalah label yang saya gunakan untuk partisi itu)

  Ini mungkin karena sistem / manajer file desktop Anda telah secara otomatis memasang perangkat, atau Anda melakukannya sendiri sebelumnya. Maka Anda mendapatkan sesuatu seperti

  Error mounting /dev/dm-6: GDBus.Error:org.freedesktop.UDisks2.Error.AlreadyMounted: Device /dev/dm-6 is already mounted at '/media/g/Data'.

  Ini tidak masalah, Anda tetap dapat mengakses data dari partisi terenkripsi.

• mengakses data: ls /media/g/Data

• unmount perangkat lagi (gunakan nama yang sama yang Anda gunakan untuk pemasangan, perintahnya adalah unmount, bukan umount :-))

  udisksctl unmount -b /dev/dm-6
  

  Jika perangkat tidak sibuk Anda akan dapatkan

  Unmounted /dev/dm-6.

• Sekarang kunci lagi partisi (Anda harus mengingat nama partisi)

  udisksctl lock -b /dev/sdc2
  

  Kamu akan mendapatkan

  Locked /dev/sdc2.

• opsional matikan disk eksternal yang lengkap

  udisksctl power-off -b /dev/sdc
  

  Dengan desktop grafis Anda mungkin mendapatkan kesalahan di sini:

  Error powering off drive: The drive in use: Device /dev/sdc3 is mounted (udisks-error-quark, 14)

  Jika demikian, Anda dapat menggunakannya udisksctluntuk melepas partisi satu per satu hingga Anda berhasil. Tidak udisksctl power-offmengembalikan pesan apa pun.

Saya pergi ke beberapa jalur dari jawaban sebelumnya dan hanya kombinasi dari jawaban sebelumnya yang bekerja untuk saya. Dia apa yang saya lakukan dan apa yang baik-baik saja, dan apa yang salah dan solusi saya.

Saya memiliki hard disk terenkripsi LUKS yang harus saya mount dari USB boot langsung untuk Ubuntu 15.10 . Untuk melakukannya saya mulai dengan perintah berikut,

udisksctl unlock -b /dev/sda3

di mana sda3 adalah partisi terenkripsi. Perintah ini tidak bekerja dengan saya dan saya tidak yakin mengapa, jadi saya menggunakan perintah berikut:

sudo cryptsetup luksOpen /dev/sda1 my_encrypted_volume

itu bekerja dengan saya dan saya tidak perlu menginstalnya karena ada di live boot.

Sekarang, saya perlu memasang HD, dan ini bukan hal yang mudah: saya mencoba:

sudo mkdir /media/my_device
sudo mount /dev/mapper/my_encrypted_volume /media/my_device

Tetapi perintah kedua tidak bekerja dengan saya, dan karenanya saya harus menemukan pekerjaan di sekitar yang berikut ini:

sudo udisksctl mount -b /dev/mapper/ubuntu--vg-root

Itu adalah path saya .. tetapi Anda dapat menggunakan path dev/mapper/ubuntudan kemudian double tab untuk melihat sisa opsi. Ini memasang HDD sebagai:

Mounted /dev/dm-1 at /media/root/03cf6b80-fa7c-411f-90b9-42a3398529ce

Kemudian saya menggunakan perintah berikut untuk memasangnya /media/my_devicesebagai berikut:

sudo mount /dev/dm-1 /media/my_device/

yang bekerja dengan baik.

Singkatnya

sudo cryptsetup luksOpen /dev/sda1 my_encrypted_volume
sudo mkdir /media/my_device
sudo udisksctl mount -b /dev/mapper/ubuntu--vg-root
sudo mount /dev/dm-1 /media/my_device/

Anda dapat memasangnya dalam dua langkah, dan saya memiliki contoh skrip.

Catatan: layanan udiskctl akan me-mount sesuatu di bawah / media, itu lebih dirancang untuk pengguna desktop yang memasang stik usb. Jika Anda ingin memasang perangkat di tempat lain, itu bukan solusi yang Anda cari.

Inilah yang saya kerjakan. Dalam contoh ini, perangkat terenkripsi saya adalah partisi yang dibuat dengan lvm, tetapi ini tidak terlalu penting. Ini adalah partisi berformat ext4. Dalam bentuk terenkripsi, ia tinggal di

/dev/myvg/opt1 

partisi terenkripsi "dibuka" (didekripsi) seperti ini

  STEP 1:  sudo cryptsetup luksOpen /dev/myvg/opt1 opt1_opened

(Di sinilah Anda memasukkan frasa sandi)

argumen terakhir adalah referensi sementara ke perangkat blok yang didekripsi. 'Pemetaan' menghilang ketika Anda reboot sehingga Anda dapat memilih nama yang berbeda setiap kali, jika Anda mau.

sekarang terlihat sebagai perangkat:

ls /dev/mapper
control  myvg-opt1  myvg-root  opt1_opened

Anda dapat memasang perangkat ini: kami sekarang memiliki perangkat ext4. Untuk membuatnya nyaman, tambahkan baris di / etc / fstab

/dev/mapper/opt1_opened /opt1   ext4    noauto,users    0       0

dan buat titik mount (dalam kasus saya sudo mkdir /opt1:, lalu setel izin seperti yang Anda inginkan) Jika Anda menggunakan nama opt1_opened di Langkah 1, maka ini adalah langkah kedua untuk memasangnya:

STEP 2: mount /opt1   #the fstab line lets users mount, so no need for sudo

dan sudah terpasang.

Karenanya, skrip bash:

#!/bin/bash
#needs to be run sudo
read -s -p "Enter LUKS password: " luks_password
printf $luks_password | cryptsetup luksOpen /dev/myvg/opt1 opt1_opened --key-file -
sudo -u tim mount /opt1

Jawaban yang benar adalah gio mount -d /dev/dm-x(tanpa sudo).

Jawaban sebelumnya menunjukkan pemutusan dengan cara pemasangan Nautilus atau Nemo, karena Anda harus memasukkan frasa sandi LUKS meskipun sebelumnya di-cache dalam keyring pengguna dari GUI. Menggunakan giosecara otomatis menggunakan frasa sandi yang sebelumnya disimpan oleh Nautilus atau Nemo.

Untuk jawaban yang lebih terperinci, lihat https://unix.stackexchange.com/questions/394320/what-command-does-nemo-use-to-mount-drives/536842#536842

Sedang mencari yang sama ...

The mkdirLangkah-langkah yang alasan saya untuk melihat lebih jauh, saya juga sudah dimodifikasi policykituntuk memungkinkan pengguna saya untuk me-mount tanpa meminta pertama untuk passwd root dan kemudian password volume terenkripsi, sehingga sudojuga lebih dari membunuh.

Solusi saya yang saya temukan adalah penggunaan gvfs-mountdari gvfs-binpaket. Sekarang dengan gvfs-mount -d /dev/sda7Saya hanya meminta kata sandi terenkripsi dan itu di-mount di bawah /media/VOLUME_LABEL.

Di Chromebook saya dengan (crouton) Ubuntu Xenial 16.04 saya menemukan bahwa ketika saya mengeluarkan:

sudo cryptsetup luksOpen / dev / sda1 my_encrypted_volume

per postingan di atas dan masukkan frasa sandi saya, saya mendapatkan "Tidak ada kunci yang tersedia dengan frasa sandi ini." Namun, secara tidak sengaja saya telah menemukan (dan sangat aneh!) Semuanya bekerja ketika saya menambahkan "--debug" ke perintah cryptsetup! Saya kemudian dapat memasang volume dan mengakses file.

Meminta manajer file Thunar untuk melakukan hasil pemasangan "Tidak diizinkan untuk melakukan operasi." kesalahan. Saya tidak dapat menemukan jalan keluarnya, tetapi karena saya dapat melakukan mount pada baris perintah, itu agak dapat diterima.

Ok, jadi saya punya solusi yang berfungsi guys, seperti yang dibahas sebelumnya alasan Anda mendapatkan mount: unknown filesystem type 'LVM2_member'kesalahan adalah karena secara default mesin linux Anda memberikan nama VG yang sama ke hard drive eksternal, maka semua partisi pada HDD eksternal tidak aktif.

Ini adalah hal yang perlu kamu lakukan:

1. cabut hard drive eksternal Anda dan perhatikan VID UUID internal Anda menggunakan ( sudo vgdisplay command),
2. sekarang colokkan hard drive eksternal Anda dan ganti nama grup VG dari HDD EKSTERNAL Anda (bukan internal, ini akan merusak komputer Anda) ( vgrename UUID_Number [new-group]).
3. Periksa nama baru diperbarui dalam VGdiplay, sekarang aktifkan VGroup baru ( vgchange [new_group] -a y), periksa semua partisi diaktifkan ( lvscan).
4. Sekarang Anda akan melihat semua partisi Anda di bawah ls /dev/mapper/[new_group], yang perlu Anda lakukan adalah me-mount partisi ( mount -t ext4 /dev/mapper/[new_group]-data /zez)