시작 시 LUKS 암호화 볼륨 자동 마운트

tag-icon tag-icon boot luks autostart
시작 시 LUKS 암호화 볼륨 자동 마운트

RHEL 7.9를 실행하면 루트 파티션이 LUKS로 암호화되므로 시스템 부팅 중에 콘솔에 부팅을 계속하려면 암호를 묻는 메시지가 표시됩니다.

시스템이 부팅되면 LUKS로 암호화된 /etc/fstab블록 장치를 설치합니다 /dev/sdc1 /data.

GNOME DISKS 유틸리티를 사용하여 잠금을 해제하고 설치할 수 있지만 이는 시스템이 재부팅될 때마다 기억해야 하는 두 번째 프로세스이자 수동 ​​프로세스가 됩니다... 또한 콘솔에 로그인하여 해당 gnome-disks유틸리티를 실행해야 합니다. 내 /data폴더를 마운트했습니다...그것은 테라바이트의 파일이었고 내 OS 디스크의 루트 파티션은 600GB에 불과했습니다. 그래서 빨리 발생한 문제는 /data마운트하지 않으면 루트 파티션이 가득 차게 된다는 것이었습니다.

RHEL 7.9에서 방법자동적 인암호화된 LUKS 잠금 해제 및 설치디스크시작 시 발생합니까? /etc/fstab따라서 ? 에 지정된 다른 [암호화되지 않은] 디스크처럼 마운트됩니다 .

답변1

이는 (암호화된) 루트 파티션에 암호화 키를 저장하려는 경우 가능합니다. 키가 포함된 파일을 만듭니다 /etc/crypttab.keyfile. 그런 다음 나는 다음과 같은 것을 사용했습니다.

# blkid /dev/sdc1
/dev/sda1: UUID="1249cb86-92a3-4e3b-8299-828a119fb3d1" TYPE="crypto_LUKS" 
PARTLABEL="primary" PARTUUID="75cf0a0e-0f4d-43c8-b8f5-fa26ab197ddc"
# echo "luks-1249cb86-92a3-4e3b-8299-828a119fb3d1 UUID=1249cb86-92a3-4e3b-8299- 
828a119fb3d1 /etc/crypttab.keyfile luks,discard" >> /etc/crypttab
# cryptsetup -v luksOpen /dev/sdc1 luks-1249cb86-92a3-4e3b-8299-828a119fb3d1 \
--key-file=/etc/crypttab.keyfile

장치는 부팅 시 자동으로 암호가 해독되며 fstab을 통해 마운트할 수 있습니다.

항상 암호화 키 사본을 다른 미디어에 안전하게 저장하세요. 그것을 잃어 버리면 디스크가 없어집니다.

답변2

이것이 내가 작동시킨 방법입니다.

dd   if=/dev/urandom  of=/root/crypttab.key  bs=1024   count=4
chmod  400  /root/crypttab.key
cryptsetup    luksAddkey   UUID=###   /root/crypttab.key
cryptsetup   -v luksOpen   UUID=###   /root/crypttab.key
# edit /etc/cryptab manually, each line having:
    <volume-name>   <encrypted-device>   <key-file>   <options>
  • UUID=###은 gnome disk 또는 lsblk에 표시된 대로 luks 잠긴 파티션에 속합니다.
  • 사용하지 /dev/sda1않거나이름으로관례적으로, luks 볼륨은 sdb 또는 sdc가 될 수 있고 디스크가 왔다 갔다 하거나 UUID를 사용하여 시스템 주위로 이동할 때 실패할 수 있기 때문입니다.
  • 나는 <volume name>그것이 무엇이든 될 수 있다고 믿는다
  • /etc/fstabuuid, label, scsi-id와 같이 열 1에 허용된 모든 마운트 규칙을 여기에서 사용할 수 있을 것으로 생각됩니다. 아래를 참조하세요./dev/disk/
  • 수동 편집용/etc/crypttab
    • 빈 파일이 될 것이며 crypttab [또는 luks]와 관련된 작업은 아직 수행되지 않았습니다.
    • 파일 이름을 바꾸거나 다른 파일로 이동할 수 없습니다.
    • root.root 권한이 있어야 하며-rw-------
    • 특정 luks 잠긴 장치를 잠금 해제하는 데 사용되는 각 행에는 4개의 열이 있습니다.
    • 예를 들면 다음과 같습니다.
      • scratch UUID=abc123 /root/crypttab.key luks
      • 네 번째 열은luks
  • cryptsetup -v LUKS 볼륨에 사용된 원래 비밀번호와 독립적인 키 파일을 LUKS에 추가합니다 .
  • 기존 비밀번호를 묻는 메시지가 표시 되므로 cryptsetup -v키는 비밀번호를 기반으로 한다고 가정합니다.
  • 원래 비밀번호가 손상 되면 안전한지 확실하지 않지만 /root/crypttab.key그럴 수도 있다고 생각합니다.
  • 손상되거나 분실된 경우 /root/crypttab.key/etc/crypttab에서 해당 항목을 삭제하고 비밀번호를 사용하도록 되돌리거나 새 키로 cryptsetup을 다시 실행하세요.
  • 파일 /root/crypttab.key을 삭제할 수 있으며 LUKS 암호화에 사용된 원래(또는 현재) 비밀번호를 아는 한 잠금을 해제하고 데이터를 가져올 수 있습니다.
  • 설정이 완료되면 gnome 디스크 유틸리티에서 잠금 해제 버튼을 클릭하기만 하면 비밀번호를 입력하라는 메시지가 표시되지 않고 볼륨 잠금을 해제할 수 있습니다.
  • /etc/fstab[암호화] 장치를 마운트하기 위한 진입점은 실제로 LUKS와 관련된 일이 발생하지 않습니다./etc/fstab
  • 파일 /root/crypttab.key 이름은 무엇이든 지정할 수 있고 어디에나 위치할 수 있습니다.
  • 사용되는 UUID는 잠금이 해제되기 전 잠긴 LUKS 파티션의 UUID입니다.
  • 현재 항목이 있으면 /etc/crypttabGNOME 디스크 유틸리티가 해당 항목을 인식하고 gnome 디스크를 사용하여 기존 암호를 변경할 수 있습니다. 이는 기존 키 파일도 업데이트하거나 존중한다는 것을 나타내기에 충분합니다.

관련 정보