पासवर्ड के लिए पासवर्ड के लिए पूछ क्रिप्टैब बंद करो


10

जब इसे जारी किया गया था, तब मैंने एक ताजा 11.04 सिस्टम स्थापित किया था और एलयूकेएस के साथ पूर्ण डिस्क एन्क्रिप्शन स्थापित किया था। सबसे पहले इसने मुझसे मेरे तीन एन्क्रिप्टेड विभाजन के लिए पासवर्ड मांगा:

/
/home
swap

पासफ़्रेज़ में टाइप करने से तीन बार निराशा हुई, इसलिए मैंने / पर संग्रहीत कीफ़ाइल से डिक्रिप्ट करने के लिए घर / स्वैप स्थापित करने का प्रयास किया। मैंने कीफ़ाइल बनाया और इसे दो विभाजनों पर सक्षम किया। मेरा क्रिप्टाबैब अब इस तरह दिखता है:

root-root_crypt UUID=13c21bf6-4d92-42a7-877a-87cc31b1aa19 none luks
home-home_crypt UUID=ba90ce5b-9df7-4764-8a72-011bbb164db4 /root/keyfile luks
home-home_crypt UUID=ba90ce5b-9df7-4764-8a72-011bbb164db4 none luks
sda3_crypt UUID=e4677895-2114-4054-9f23-d36f6bb0e6a2 /root/keyfile luks,swap

यह / घर के लिए ठीक काम करता है, जो पासवर्ड के लिए पूछे बिना स्वचालित रूप से माउंट हो जाता है। लेकिन cryptsetup अभी भी स्वैप स्पेस के लिए पासवर्ड मांगता है। मैंने स्वैप स्थान में noauto जोड़ने की भी कोशिश की है, ताकि यह बिल्कुल भी सेट न हो - एक बार सिस्टम बूट हो जाने के बाद मैं इसे पासफ़्रेज़ के बिना सक्षम कर सकता हूं, इसलिए मैंने सोचा कि मैं बस एक देर से इनइट स्क्रिप्ट जोड़ना चाहूंगा यह है, लेकिन noauto cryptsetup के साथ अभी भी पासफ़्रेज़ के लिए पूछता है।

धन्यवाद!


4
इस कारण से, कई विभाजनों के मामले में LVM + LUKS का उपयोग करने की अनुशंसा की जाती है। क्रायसपेट का उपयोग LVM लेयर के ऊपर या नीचे (ऊपर -> फाइल सिस्टम, नीचे -> डिस्क) में किया जा सकता है। LVM के नीचे cryptsetup का उपयोग करने से यह फायदा होता है कि आपको केवल एक एन्क्रिप्टेड पार्टीशन (LVM एक) की आवश्यकता होती है।
लेकेनस्टाइन

जवाबों:


10

यहाँ एक ही सवाल था, मैंने इसे ubuntu 12.04.1 और 12.10 पर कैसे किया,

- शुरू करने से पहले सुनिश्चित करें कि आपके पास एक बैकअप है और आप अपने सिस्टम को ubuntu cd या usb से बूट कर सकते हैं; जैसे यदि आप कोई गलती करते हैं, तो आपका सिस्टम अब बूट नहीं हो सकता है या आप डेटा खो सकते हैं। मुझे लगता है कि आपके पास LUKS के साथ एक एन्क्रिप्टेड ubuntu प्रणाली है, LUKS के अंदर आपके पास 3 विभाजन हैं, सिस्टम-बूट (एन्क्रिप्टेड नहीं), सिस्टम-स्वैप (एन्क्रिप्टेड) ​​और सिस्टम-ओएस (एन्क्रिप्टेड) ​​-

U को आपके सिस्टम में उपयोग की जाने वाली भिन्नताओं के लिए UUIDs, SYSTEM-SWAP_crypt, SYSTEM-OS_crypt, SYSTEM-SWAP, SYSTEM-OS समायोजित करने की आवश्यकता है, pls अधिक जानकारी के लिए मेरे समाधान के नीचे संदर्भ लिंक देखें

UUIDs प्राप्त करें:

blkid

तैयार करें>

swapoff /dev/mapper/SYSTEM-SWAP_crypt
cryptsetup luksClose SYSTEM-SWAP_crypt

रूट फाइल सिस्टम को पकड़े वॉल्यूम के डिक्रिप्शन कुंजी से स्वैप विभाजन के पासफ़्रेज़ की गणना करने के लिए cryptsetup बताएं।

/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksFormat /dev/mapper/SYSTEM-SWAP --key-file -
/lib/cryptsetup/scripts/decrypt_derived SYSTEM-OS_crypt | cryptsetup luksOpen /dev/mapper/SYSTEM-SWAP SYSTEM-SWAP_crypt --key-file -
mkswap /dev/mapper/SYSTEM-SWAP_crypt

स्वैप विभाजन के बारे में सिस्टम को बताएं, क्रिप्टैब को संपादित करें>

nano /etc/crypttab

=? सुनिश्चित करें कि दो लाइनें मेल खाती हैं

SYSTEM-OS_crypt UUID=uuid-of-luks-containing-osroot none luks
SYSTEM-SWAP_crypt UUID=uuid-of-luks-containing-swap SYSTEM-OS_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived

स्वैप विभाजन के बारे में सिस्टम को बताएं, fstab को संपादित करें>

nano /etc/fstab

=? सुनिश्चित करें कि आपके पास यह लाइन है

/dev/mapper/SYSTEM-SWAP_crypt swap swap sw 0 0

सिस्टम को स्वैप विभाजन के बारे में बताएं, फिर से शुरू करें>

nano /etc/initramfs-tools/conf.d/resume

=? सुनिश्चित करें कि आपके पास यह लाइन है

RESUME=UUID=uuid-of-encrypted-swap-SYSTEM-SWAP_crypt

बूट विभाजन पर अद्यतन initramfs>

update-initramfs -u -k all

संदर्भ

एक एन्क्रिप्टेड डेबियन सिस्टम (संग्रहीत लिंक) की स्थापना से प्रेरित उत्तर :

यदि आप एक एन्क्रिप्टेड डेबियन सिस्टम का उपयोग कर रहे हैं, तो आपको मिलने की कुछ सुरक्षा आवश्यकताएं हैं। यदि ऐसा है, तो आपको एन्क्रिप्टेड स्वैप विभाजन का भी उपयोग करना होगा।

स्वैप विभाजन को दो तरीकों से एन्क्रिप्ट किया जा सकता है:

  • एक यादृच्छिक पासफ़्रेज़ का उपयोग करके इसे हर बूट पर फिर से बनाया जा सकता है, या
  • इसे अन्य एन्क्रिप्टेड संस्करणों की तरह बनाया जा सकता है जिसमें लगातार पासफ़्रेज़ होता है

यदि आप सस्पेंड-टू-डिस्क का उपयोग करना चाहते हैं, तो आप पहले दृष्टिकोण का उपयोग नहीं कर सकते हैं क्योंकि यह स्वैप विभाजन में संग्रहीत आपकी स्मृति पदचिह्न को अधिलेखित कर देगा। इसके अलावा, आप अन्य विभाजनों की तरह एक महत्वपूर्ण फ़ाइल का उपयोग नहीं कर सकते हैं, क्योंकि रूट फाइल सिस्टम नहीं है (और नहीं होना चाहिए) जब तक फिर से शुरू प्रक्रिया शुरू नहीं होती है और डिक्रिप्टेड स्वैप विभाजन को पढ़ने की आवश्यकता होती है।

जिस तरह से मैंने इसे हल किया है वह रूट फाइलसिस्टम को पकड़े वॉल्यूम की डिक्रिप्शन कुंजी से स्वैप विभाजन के पासफ्रेज की गणना करने के लिए क्रायसिपेटसेट बता रहा है; क्रायसिपेटअप पैकेज इसके साथ लागू होता है /lib/cryptsetup/scripts/decrypt_derived। इस प्रकार, स्वैप विभाजन को सेट करने के लिए, मैं निम्नलिखित कार्य करता हूं, यह मानते hda2हुए कि एन्क्रिप्टेड स्वैप और रूट फाइलसिस्टम को पकड़े हुए विभाजन है hda5_crypt:

swapoff /dev/mapper/hda2_crypt
cryptsetup luksClose hda2_crypt
dd if=/dev/urandom of=/dev/hda2
/lib/cryptsetup/scripts/decrypt_derived hda5_crypt \
  | cryptsetup luksFormat /dev/hda2 --key-file -
/lib/cryptsetup/scripts/decrypt_derived hda5_crypt \
  | cryptsetup luksOpen /dev/hda2 hda2_crypt --key-file -
mkswap /dev/mapper/hda2_crypt

इस स्वैप विभाजन के बारे में सिस्टम को बताने के लिए, हमें इसे /etc/crypttabऔर /etc/fstab; सुनिश्चित करें कि, उन फ़ाइलों में निम्न जैसी लाइनें हैं:

/etc/crypttab:
  hda2_crypt /dev/hda2 hda5_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived

/etc/fstab:
  /dev/mapper/hda2_crypt swap swap sw 0 0

इसके साथ ही, जैसे ही आप सिस्टम को सस्पेंड-टू-डिस्क के लिए कॉन्फ़िगर करते हैं, स्वेप विभाजन बूट अनुक्रम के दौरान रूट फाइल सिस्टम के साथ स्वचालित रूप से सेट हो जाएगा। पता लगाने के लिए स्वैप विभाजन उस बिंदु पर उपलब्ध बनाने के लिए, cryptsetup चेकों निम्नलिखित: asfasfafs - तरह की एक पंक्ति RESUME=/dev/mapper/hda2_cryptमें /etc/initramfs-tools/conf.d/resume - एक को फिर से शुरू डिवाइस की स्थापना में /etc/uswsusp.conf(देखें uswsusp.conf(5)) - में एक प्रविष्टि /etc/suspend.conf एक - resume=/dev/mapper/hda2_cryptकर्नेल कमांड लाइन में

/usr/share/initramfs-tools/hooks/cryptrootयदि आप इसके बारे में अधिक जानना चाहते हैं तो आप निरीक्षण कर सकते हैं।


उबंटू पूछने के लिए आपका स्वागत है! अगर फॉर्मेटिंग (जो मैंने अभी किया था) को ध्यान में रखे बिना कॉपी / पेस्ट नहीं किया तो + 1 + होगा। मुझे यह पसंद है कि "हर बूट पर इसे फिर से बनाया जा सकता है, एक यादृच्छिक पासफ़्रेज़ का उपयोग करके" यहां।
gertvdijk

मैं वास्तव में जवाब के लिए इस्तेमाल किया आदेशों को जोड़ा, मैं इसे 12.10 पर भी परीक्षण करने जा रहा हूं, बाद में उत्तर को अपडेट करूंगा
प्रिंस

ठीक है। मैंने मान लिया कि आपने इसे पूरी तरह से कॉपी / पेस्ट किया है। कृपया इसे बदलने के लिए इसे स्पष्ट करें कि आपने इसे काम करने के लिए इसमें क्या बदलाव किए हैं। मददगार होगा, धन्यवाद!
gertvdijk

12.10 पर कोशिश न करें क्योंकि मैं एक बग में भाग गया था जो बूट को रोकता है, मुझे "cryptsetup lvm उपलब्ध नहीं है", Google खोज रिटर्न बग रिपोर्ट। इसे और अधिक गहराई से देखने की आवश्यकता है लेकिन इसके पास समय नहीं है, यू को बाद में बताएंगे।
प्रिंस

उत्तर को अपडेट किया, मेरा 12.10 सिस्टम अब पूरी तरह से कार्यात्मक है और केवल एक पासवर्ड के लिए पूछता है, मैंने अंत में इनट्राम्राम्स -u -k को अपडेट नहीं किया जो कि पिछली टिप्पणी पर बताई गई समस्या का निर्माण करता है। @gertcdijk ने सब कुछ तैयार किया, आशा है कि उर खुश हैं
प्रिंस

4

यह संभवतः इंगित करता है कि initramfsबूट प्रक्रिया के भाग के दौरान स्वैप विभाजन तक पहुँचा जा रहा है । इस बिंदु पर रूट फ़ाइल सिस्टम अभी तक माउंट नहीं किया गया है, इसलिए वहां संग्रहीत कोई भी कॉन्फ़िगरेशन फ़ाइल दिखाई नहीं देगी।

जबकि रूट फ़ाइल सिस्टम के बाद स्वैप स्पेस को माउंट किया जाता है, स्वैप स्पेस initramfsको एक्सेस करने के लिए आरंभीकरण प्रक्रिया का एक कारण है: जब आप अपने कंप्यूटर को हाइबरनेट करते हैं, तो मेमोरी और सिस्टम स्टेट की सामग्री को स्वैप करने के लिए लिखा जाता है। हाइबरनेशन से फिर से शुरू करने के लिए, यह जांचना आवश्यक है कि क्या स्वैप स्थान में हाइबरनेशन छवि है जिसमें पास वाक्यांश की आवश्यकता होगी।

यदि आपको हाइबरनेशन से फिर से शुरू करने की क्षमता खोने का मन नहीं है, तो आप इस व्यवहार को संपादित कर सकते हैं /etc/initramfs-tools/conf.d/resumeऔर इसके साथ शुरू होने वाली लाइन को टिप्पणी कर सकते हैं RESUME=। परिवर्तन करने के बाद, छवि update-initramfs -uको अपडेट करने के लिए चलाएँ initramfs


आह आपका धन्यवाद! मुझे यकीन नहीं है कि मैं हाइबरनेशन का त्याग करना चाहता हूं। मैं अक्सर इसका उपयोग नहीं करता, लेकिन जब बैटरी मेरे नोटिंग के साथ खराब हो जाती है, तो यह काम आता है। क्या आप जानते हैं कि अगर कोई तरीका है कि cryptsetup / के लिए एक ही पासवर्ड का पुनः उपयोग करें?
ब्रैड

मुझे ऐसा करने का कोई तरीका नहीं पता है। और इससे पहले कि आप पूछें, अपने कीफाइल की एक प्रति अंदर डालने की कोशिश न करें initramfs। जबकि इसे पासफ़्रेज़ प्रॉम्प्ट से छुटकारा मिल जाएगा, यह इसे डिस्क पर भौतिक पहुंच के साथ किसी को भी उपलब्ध कराएगा।
जेम्स हेनस्ट्रिज
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.