Il est possible de simplement stocker le mot de passe luks dans un fichier.
J'utilise ceci sur mon ordinateur personnel; Le système de fichiers racine vit sur un volume luks régulier que je déverrouille avec ma phrase secrète au démarrage. Un lecteur supplémentaire contient un volume luks avec un mot de passe généré.
Ce volume supplémentaire est déverrouillé par un fichier de mots de passe qui réside sur le système de fichiers racine chiffré. Il est automatiquement déverrouillé lors du démarrage si le système de fichiers racine est déverrouillé.
Mon /etc/crypttab
ressemble à ceci:
crypt-root UUID=c5a2cf25-0aae-457e-874f-fca7ea3d5742 none luks
crypt-data UUID=96d79323-246d-49e0-9149-ec3a4cfc1c1e /etc/crypt-data.key luks
Le troisième champ est le fichier de clés, none
pour le système de fichiers racine, mais /etc/crypt-data.key
pour le système de fichiers de données. /etc/crypt-data.key
contient le mot de passe luks:
Tm90IHJlYWxseSBteSBwYXNzd29yZC4K
Remarque, une nouvelle ligne ou tout autre espace blanc sera pris comme partie du mot de passe! Prenez soin de générer ce fichier sans retour à la ligne. Assurez-vous également qu'il dispose d'autorisations strictes:
-rw------- 1 root root 59 Sep 14 23:57 /etc/crypt-data.key
Vous devriez pouvoir dupliquer cette approche pour plusieurs volumes (avec des mots de passe distincts ou un mot de passe partagé, votre choix).