首先要说明一下安全问题，您需要保护包含 LUKS 密码或密钥的文件。这可能意味着要为您的 OS 根分区使用加密分区。如果您不保护该文件，加密对您没有多大帮助。

下面，/dev/device-and-part用你的分区（即sda3）替换。

请考虑备份您的数据或说明中修改的任何文件。如果您犯了错误，可能会丢失数据或导致系统无法运行。

创建一个新的 LUKS 密钥

从随机数据创建密钥，确保只有 root 用户有访问权限：

sudo mkdir /etc/luks-keys/
sudo dd if=/dev/urandom of=/etc/luks-keys/name-of-key bs=512 count=8 iflag=fullblock
sudo chown root.root /etc/luks-keys/name-of-key
sudo chmod 400 /etc/luks-keys/name-of-key

现在将密钥与分区关联，您需要在提示符下输入现有密码：

sudo cryptsetup -v luksAddKey /dev/device-and-part /etc/luks-keys/name-of-key

验证是否有效，测试密钥文件：

sudo cryptsetup open -v --test-passphrase /dev/device-and-part --key-file /etc/luks-keys/name-of-key

您现在可以使用密钥文件的密码来解锁加密分区。

解锁并安装

找出分区的 UUID。此唯一 ID 用于在启动时识别分区。

sudo cryptsetup luksDump /dev/device-and-part | grep "UUID"

在我写 UUID_HERE 的地方使用该值。为已安装的卷选择一个名称，例如。我将在说明中使用sda3_crypt它。sda3name_crypt

echo "name_crypt UUID=UUID_HERE /etc/luks-keys/name-of-key luks" | sudo tee -a /etc/crypttab

使用以下方法检查您的配置：

sudo cryptdisks_start  name_crypt

添加到 fstab 以自动挂载：

echo "/dev/mapper/name_crypt /media/path/to/mount ext4 defaults 0 2" | sudo tee -a /etc/fstab

笔记

了解每个命令都是值得的，这样您就可以调试发现的任何问题。man dd man cryptsetup man fstab可以在这里为您提供帮助。我在 Debian 11 上运行了这些说明，相同或类似的方法应该适用于较旧/较新的 Debian 版本、Ubuntu 或类似的操作系统。

好的，我找到答案：我需要添加 sudo cryptsetup -v luksAddKey

回答：https://blog.tinned-software.net/automount-a-luks-encrypted-volume-on-system-start/