我使用 dm-crypt 和 LUKS 标头加密了我的主分区。标头中有两个插槽:第一个是密码,第二个是密钥文件。我在外部驱动器上有密钥文件,我仅将其用作“加密设备”。我的/etc/crypttab看起来像这样:
# <target name> <source device> <key file> <options>
home UUID="..." /dev/sdb1:/home.key luks,keyscript=/lib/cryptsetup/scripts/passdev,discard
现在一切都运行良好,但我希望我的计算机在无法找到带有密钥文件的设备时要求我输入密码。我尝试添加home两次crypttab。第一条记录配置为使用密码,并包含timeout在选项中。第二条记录是上面介绍的。它不起作用。
是否有可能通过这种方式配置系统?
答案1
您需要的是在插槽 1 上的后备传递 - 将发布指向我使用的来自 gentoo 论坛的教程的链接,但简而言之,将 stdin(您的 kf)管道传输到强制传递请求的 fifo,您将获得 kf +pass 和后备传递(在插槽 2 中)
SLOT 1: keyfile + pass
SLOT 2: fallback pass (if slot 1 is unreachable /corrupt or its pass suffwrs same fate)