使用加密 USB 密钥启动加密根目录

使用加密 USB 密钥启动加密根目录

使用 grub 运行 Debian 11,在 /dev/sdb2 上运行全磁盘加密(无 LVM),在 /dev/sdb1 上运行未加密的 /boot/efi。

启动时,我想要两个选项:

  1. 输入密码
  2. 插入加密的 USB 密钥(存储 LUKS 密钥文件以解锁 /dev/sdb2)。

(与相同的用例Luks 加密 USB 启动密钥- 除了当我插入 USB 密钥时我根本不想输入密码)。

我的 USB 密钥已加密,因此我需要在启动时自动解锁它。为此,我创建了一个 LUKS 密钥文件,该文件存储在 /boot/efi 中。

这是我生成的 /etc/crypttab:

USB-KEY /dev/disk/by-label/USB-KEY_LUKSCONTAINER  /boot/efi/USB-KEY.key  luks,keyscript=/bin/cat
cryptroot UUID=xxxx-xxxx--xxxx-xxx  /dev/disk/by-label/USB-KEY:/secret.key:20 luks,discard,keyscript=/lib/cryptsetup/scripts/passdev

我已经更新了 /etc/fstab 以便自动安装 USB-KEY:

/dev/mapper/USB-KEY
UUID=yyyy-yyyy-yyyy-yyyy  /mnt/USB-KEY  ext4  nosuid,rw  0 0

启动时,虽然插入了 USB 密钥,但我仍停留在 cryptsetup 提示符上 - 如果我输入 LUKS 密码,我会收到此消息:“cryptsetup 失败,密码错误或选项?”。我哪里错了?

相关内容