暗号化されたボリュームに対してパスフレーズが要求される順序
2つのディスクを備えたマシンに12.10をインストールしました。ルートパーティションは一方のディスクにあり、スワップパーティションはもう一方のディスクにあります。両方のディスクが暗号化されており、対応するエントリを/etc/crypttabに追加しました。
起動時に、ルートファイルシステムを含むディスクのパスフレーズを要求します。その後、起動を続け、ログイン画面が表示されてから、他のディスクのパスフレーズを入力する機会を得ます。ログイン後、2番目のパーティションのパスフレーズを入力するのを実際に待っていることを確認しました(askpassプロセスが実行中)。しかし、その時点では、パスフレーズを入力する方法はもうありません。
crypttabのマンページは、ボリュームが指定される順序が重要であることを示唆しているので、最初にスワップディスクを持つように変更しました。その後、initramfsとgrubを更新しましたが、違いはありませんでした。
暗号化されたパーティションがロック解除される順序を指定するにはどうすればよいですか?ログイン画面を表示する前に、すべての暗号化されたパーティションのロックが解除されるまでシステムに待機するようにスワップパスフレーズを最初に要求するか、システムに通知するソリューションを探しています。
理想的には、休止状態を使用できるようにする必要があります。つまり、スワップにランダムキーを使用したり、crypttabでキーをエンコードしたりしないでください。
さらに掘り下げた後、decrypt_derivedスクリプトを見つけました。これにより、別の暗号化されたパーティションからパスフレーズを取得できます。この方法でスワップパーティションを設定し、/etc/crypttabに必要な変更を加えたところ、機能しました。パスフレーズを1つ入力するだけで、2番目のパーティションは起動および休止状態の動作中に自動的にロック解除されます。
詳細例: ここ 。
休止状態を気にしない場合は、暗号化されたスワップパーティションのパスワードをルートパーティション上のファイルに入れることができます。 /etc/crypttabはそのファイルを指すことができ、この問題を完全に回避できます。ルートドライブは暗号化されているため、これはセキュリティリスクではありません。おまけとして、休止状態を使用する予定がないため、実際にスワップファイルにランダムキーを毎回使用させるには、このファイルを/dev/urandomに設定します。 crypttabを投稿する場合は、必要な変更を表示させていただきます。