Plusieurs ensembles de données LUKS + dm_crypt exigent plusieurs phrases secrètes au démarrage


1

J'expérimente avec LUKS + dm_crypt. Ma configuration ressemble à ceci: un VG LVM composé de plusieurs volumes physiques (PV). Ce VG contient plusieurs volumes logiques (LV), la plupart d’entre eux chiffrés via LUKS + dm_crypt (via cryptsetup).

En modifiant "/ etc / crypttab", le système demandera une phrase secrète pour chaque fichier chiffré. Mais comme tous mes LV cryptés partagent la même phrase secrète, je ne souhaite recevoir d’invite qu’une fois au lieu de douze (j’ai 12 LV cryptés).

J'ai pensé à écrire un script à inclure dans initrd qui demande le mot de passe une fois, stocke le résultat dans un endroit volatile (disque virtuel?) Et fournit ce mot de passe pour le reste des entrées "/ etc / crypttab".

Mais cela semble complexe et fragile.

Je me demande s’il manque quelque chose ou un moyen plus facile.

Réponses:



1

Enregistrez les clés sur un périphérique USB ou une carte SD. Cryptez cela avec une clé stockée dans initrd.

Ecrivez le script pour attendre le périphérique ou la carte, appliquez la clé stockée, puis extrayez le reste des clés de ce périphérique.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.