使用 grub 运行 Debian 11,在 /dev/sdb2 上运行全磁盘加密(无 LVM),在 /dev/sdb1 上运行未加密的 /boot/efi。
启动时,我想要两个选项:
- 输入密码
- 插入加密的 USB 密钥(存储 LUKS 密钥文件以解锁 /dev/sdb2)。
(与相同的用例Luks 加密 USB 启动密钥- 除了当我插入 USB 密钥时我根本不想输入密码)。
我的 USB 密钥已加密,因此我需要在启动时自动解锁它。为此,我创建了一个 LUKS 密钥文件,该文件存储在 /boot/efi 中。
这是我生成的 /etc/crypttab:
USB-KEY /dev/disk/by-label/USB-KEY_LUKSCONTAINER /boot/efi/USB-KEY.key luks,keyscript=/bin/cat
cryptroot UUID=xxxx-xxxx--xxxx-xxx /dev/disk/by-label/USB-KEY:/secret.key:20 luks,discard,keyscript=/lib/cryptsetup/scripts/passdev
我已经更新了 /etc/fstab 以便自动安装 USB-KEY:
/dev/mapper/USB-KEY
UUID=yyyy-yyyy-yyyy-yyyy /mnt/USB-KEY ext4 nosuid,rw 0 0
启动时,虽然插入了 USB 密钥,但我仍停留在 cryptsetup 提示符上 - 如果我输入 LUKS 密码,我会收到此消息:“cryptsetup 失败,密码错误或选项?”。我哪里错了?