Enkripsi disk penuh dengan dm-crypt (tanpa LUKS)

8

Saat ini saya mencoba untuk mencapai enkripsi disk penuh menggunakan dm-crypt dalam mode polos tanpa header LUKS dengan yang terpisah /bootpada USB stick.

Tujuan utama saya adalah untuk mencapai penyangkalan yang masuk akal pada distro berbasis Debian. Untuk saat ini saya telah berhasil mengenkripsi partisi menggunakan cryptsetupdan menginstal /bootpartisi ke kunci USB yang terpisah. Semuanya berjalan sebagaimana mestinya dan karena header untuk enkripsi tidak disimpan dalam LUKS, saya harus memasukkannya secara manual di layar initramfs, tetapi pada langkah ini saya hanya mendapatkan kesalahan yang menunjukkan tidak ada cryptsetup di initramfs ("/ bin / sh: cryptsetup: tidak ditemukan ") ketika mencoba mengurai header.

Kesimpulannya:

  • dev/sdadienkripsi menggunakan dm-crypt( /rootdan /homevolume) dengan:
cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda
  • dev/sdb tongkat boot dengan grub terpasang

Saya berhasil boot dari bootstick. Saya melihat splashscreen Ubuntu selama sekitar 20 detik yang ingin saya capai untuk penyangkalan yang masuk akal dan kemudian jatuh ke initramfs mengeluh tentang tidak dapat menemukan /dev/mapper/root-yang juga sesuatu yang ingin saya capai.

Masalahnya adalah ketika saya ingin mengurai baris cryptsetup yang memungkinkan saya untuk memasukkan kata sandi dan melanjutkan dengan boot, maka initramf mengeluh tentang "cryptsetup: tidak ditemukan".

Saya kira keluhan ini benar. Pertanyaan saya adalah: bagaimana cara menginstal cryptsetup ke initramfs sehingga memungkinkan booting lebih cepat untuk prompt kata sandi?

Juga, saya tahu bahwa saya menghilangkan sesuatu dengan menambahkan entri yang sesuai /etc/fstab, /etc/crypttabdan perangkat tidak ditemukan saat memulai.

Ini adalah panduan yang saya temukan dan gunakan untuk mengatur semua konfigurasi saat ini, mungkin ini akan menjelaskan hal-hal yang tidak saya bahas dalam pertanyaan saya:

Yang pertama agak ketinggalan jaman dan yang kedua untuk Arch Linux, tapi saya sudah menggunakan dua dari mereka dengan instalasi Lubuntu terbaru dengan sedikit tweaker.

Rowen
sumber
1
tunggu garpu truecrypt dan buat permintaan fitur ...
RobotHumans

Jawaban:

2

Menurut initramfs-tools (8) , seseorang dapat menambahkan program ke gambar initrd dengan menambahkan misalnya berikut ini ke skrip kait :

copy_exec / sbin / cryptsetup / sbin

Contoh skrip hook dapat ditemukan dalam /usr/share/initramfs-tools/hooksdan pada sistem Ubuntu saya, /usr/share/initramfs-tools/hooks/cryptrootmemang menambahkan /sbin/cryptsetupke initrdgambar.

Contoh:

$ gzip -dc /boot/initrd.img-`uname -r` | cpio -tv 2> / dev / null | grep cryptsetup
=> Belum ada cryptsetup yang disertakan.

$ cat / etc / initramfs-tools / hooks / fde
#! / bin / sh

. / usr / share / initramfs-tools / hook-functions
copy_exec / sbin / cryptsetup / sbin

$ sudo chmod 0755 / etc / initramfs-tools / hooks / fde
$ sudo update-initramfs -u

$ gzip -dc /boot/initrd.img-`uname -r` | cpio -tv 2> / dev / null | grep cryptsetup
-rwxr-xr-x 1 root root 59248 21 Agustus 04:04 sbin / cryptsetup
-rw-r - r-- 1 root root 158848 21 Agustus 04:04 lib / x86_64-linux-gnu / libcryptsetup.so.4
ckujau
sumber