加密卷的密码请求顺序

加密卷的密码请求顺序

我在一台有两个磁盘的机器上安装了 12.10。根分区在一个磁盘上,交换分区在另一个磁盘上。两个磁盘都已加密,我已将相应的条目添加到/etc/crypttab

在启动过程中,它会要求输入根文件系统所在磁盘的密码。然后它继续启动,并进入登录屏幕,然后我才有机会输入另一个磁盘的密码。登录后,我确认它确实在等我输入第二个分区的密码(askpass进程正在运行)。但那时,我已经无法再输入密码了。

的手册页crypttab表明指定卷的顺序很重要,所以我将其更改为首先使用交换磁盘。之后我更新了 initramfs 和 grub,但没有任何变化。

我如何指定加密分区解锁的顺序?我正在寻找一种解决方案,要么先要求输入交换密码,要么告诉系统等到所有加密分区都解锁后再显示登录屏幕。

理想情况下,我希望能够使用休眠模式,即既不使用随机密钥进行交换,也不在 crypttab 中对密钥进行编码。

答案1

经过进一步挖掘,我找到了decrypt_derived脚本。它允许从另一个加密分区导出密码。我以这种方式设置了交换分区,进行了必要的更改,/etc/crypttab它就可以正常工作了!我只需要输入一个密码,第二个分区会在启动和休眠期间自动解锁。

更多细节例如这里

答案2

如果您不介意休眠,可以将加密交换分区的密码放入根分区上的文件中。/etc/crypttab然后可以指向该文件,这样您就可以完全绕过此问题。这不是安全风险,因为您的根驱动器已加密。作为奖励,由于您不打算使用休眠,因此您可以通过将此文件设置为来让交换文件每次使用随机密钥/dev/urandom。如果您发布您的,crypttab我很乐意向您展示您需要进行的修改。

相关内容