私は、暗号化された(RAID1 + LVM)ルートパーティション(/ bootは暗号化されていない通常のパーティション)を使用するように設定されたDebian 7.4(安定)ベースのサーバーを持っています。これには、リモートでLUKS暗号化パスワードを入力できるようにdropbear SSHサーバーをインストールしました。
ルートパーティション/ボリュームに加えて、同じパスワードで開くことができる別のRAID1 + cryptsetup + LVMボリュームがあります。検索結果、このスクリプトを使用して/lib/cryptsetup/scripts/decrypt_keyctl
パスワードをキャッシュし、同じパスワードで複数のボリュームを開くことができることを発見しました。しかし、initramfsステップで入力したパスワードでこのスクリプトをどのように使用しますか?
ベストアンサー1
パスワードをファイルに入れ、--key-file
パラメータと一緒に再利用できます。この設定では、プレーンテキストパスワードの代わりに任意のキーファイルを使用する方が良い場合があります。
echo -n password > pwfile
for luks in md1 md2 md3
do
cryptsetup luksOpen --key-file=pwfile /dev/"$luks" luks"$luks"
done
個人的には、私はLUKS暗号化キーファイルにわずかに異なるアプローチを使用します。
- https://wiki.gentoo.org/wiki/Custom_Initramfs#Encrypted_Keyfile
- https://wiki.gentoo.org/wiki/Custom_Initramfs/Examples
この設定では、単一のパスワードでさまざまな異なるLUKSコンテナの任意のキーを含むキーファイルストアのロックを解除します。これは/boot
USB設定に特に便利で、変調できず、/boot
ハードウェアキーロガーだけでは内蔵ディスクのキーを取得するのに十分ではありません。