我按照指示这里。我一直在使用 LiveCD,无论如何我都无法说服 Ubuntu 创建一个愿意解密我的 LUKS 文件系统的 initramfs 文件。我可以轻松通过 GRUB。
帮忙?我觉得我们可以成功。
当我进入 initramfs 阶段时,我能够运行 cryptsetup,但收到以下错误消息:
device-mapper: table: 252:0 crypt error allocating tfm
我还收到一条消息说“检查内核是否支持 aes-xts-plain64 密码”
答案1
好的,我明白了!
我修改了本指南,主要只是添加了一些内容,直到它起作用:
https://help.ubuntu.com/community/EncryptedFilesystemOnIntrepid
我根据该指南对文件进行了一些修改,其他方面都遵循了该指南。
为了以防万一,我将这些 modprobe 行添加到 /etc/initramfs-tools/scripts/local-top/cryptoroot:
modprobe -q dm_crypt
modprobe -q sha256_generic
modprobe -q sha256
modprobe -q aes_generic
modprobe -q aes
modprobe -q cbc
modprobe -q xts
modprobe -q aes
modprobe -q aes_x86_64
这使:
PREREQ="udev"
prereqs()
{
echo "$PREREQ"
}
case $1 in
# get pre-requisites
prereqs)
prereqs
exit 0
;;
esac
#This line from the Encrypted Entrepid tutorial didn't work for me
#/bin/loadkeys -q /etc/console-setup/boottime.kmap.gz
modprobe -q dm_crypt
modprobe -q sha256
modprobe -q sha256_generic
modprobe -q aes_generic
modprobe -q aes
modprobe -q cbc
modprobe -q xts
modprobe -q aes
modprobe -q aes_x86_64
# The following command will ensure that the kernel is aware of
# the partition before we attempt to open it with cryptsetup.
/sbin/udevadm settle
if grep -q splash /proc/cmdline; then
/bin/chvt 1
fi
/sbin/cryptsetup luksOpen CRYPTOROOT cryptoroot
if grep -q splash /proc/cmdline; then
/sbin/usplash -c &
sleep 1
fi
对于上面的文件(local-top),需要更改 CRYPTROOT 行。
我使用了密钥文件,因此我的行看起来像这样:
/sbin/cryptsetup luksOpen /dev/disk/by-uuid/xxxx --key-file /my_keyfile.bin cryptoroot
密钥文件不是必需的。luksHeader 可以通过密码打开(只需删除密钥文件选项)。也就是说,如果您确实包含该文件,请不要使用 /dev/sdXy。
在 /etc/initramfs-tools/hooks/cryptoroot 我刚刚添加了以下几行:
# Comment out this line
# cp /etc/console-setup/boottime.kmap.gz ${DESTDIR}/etc/console
# If you add a key-file
# cp /my_keyfile.bin ${DESTDIR}/
copy_exec /bin/loadkeys /bin
copy_exec /bin/chvt /bin
copy_exec /sbin/cryptsetup /sbin
copy_exec /sbin/blkid /sbin
copy_exec /sbin/lsmod /sbin
copy_exec /sbin/cat /sbin
copy_exec /sbin/dmsetup /sbin
这使:
PREREQ=""
prereqs()
{
echo "$PREREQ"
}
case $1 in
prereqs)
prereqs
exit 0
;;
esac
if [ ! -x /sbin/cryptsetup ]; then
exit 0
fi
. /usr/share/initramfs-tools/hook-functions
# Comment out this line
# cp /etc/console-setup/boottime.kmap.gz ${DESTDIR}/etc/console
# If you add a key-file
# cp /my_keyfile.bin ${DESTDIR}/
copy_exec /bin/loadkeys /bin
copy_exec /bin/chvt /bin
copy_exec /sbin/cryptsetup /sbin
copy_exec /sbin/blkid /sbin
copy_exec /sbin/lsmod /sbin
copy_exec /sbin/cat /sbin
copy_exec /sbin/dmsetup /sbin
并且所有这些文件都必须标记为可执行文件。
chmod +x /etc/initramfs-tools/hooks/cryptoroot
chmod +x /etc/initramfs-tools/scripts/local-top/cryptoroot
将这些添加到 /etc/initramfs-tools/modules:
dm_mod
dm_crypt
sha256_generic
sha256_ssse3
aes_generic
cbc
aes_x86_64
xts
这相对比较容易!
运行 update-initramfs -u -k all
然后,我们需要创建一个自定义 GRUB 条目,因为 os-prober 不会检测到 BTRFS 上的文件系统。arch 条目会有所帮助。
这就是我的样子:
menuentry "System shutdown" {
echo "System shutting down..."
halt
}
menuentry "System restart" {
echo "System rebooting..."
reboot
}
menuentry 'Ubuntu Linux try 1' --class arch --class gnu-linux --class gnu --class os {
load_video
set gfxpayload=keep
insmod gzio
insmod part_msdos
insmod cryptodisk
insmod luks
insmod gcry_rijndael
insmod gcry_sha256
insmod btrfs
insmod ext2
cryptomount -u [UUID of sdXY]
set root='cryptouuid/[UUID of sdXY]'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint='cryptouuid/[UUID of sdXY]' [UUID of /dev/mapper/cryptoroot]
else
search --no-floppy --fs-uuid --set=root [UUID of /dev/mapper/cryptoroot]
fi
echo 'Loading Linux linux-lts ...'
#I use btrfs so...
linux btrfs path root=UUID=[UUID of /dev/mapper/cryptoroot] rw rootflags=subvol=/btrfs/path/to/root cryptdevice=/dev/disk/by-uuid/[UUID of sdXY]':cryptroot quiet modprobe.blacklist=pcspkr profile
echo 'Loading initial ramdisk ...'
initrd path/initrd.img
}
##I was able to boot without this kernel option but some guides suggested it: ##cryptopts=target=cryptrootname,source=/dev/sdXY
这是官方消息:Ubuntu 可以启动 Arch 的加密文件系统!我在 Google 上搜索了很多,但不确定是否有人破解过这个,至少在几年内没有。