암호화된 USB 키를 사용하여 암호화된 루트 부팅

암호화된 USB 키를 사용하여 암호화된 루트 부팅

/dev/sdb2에서 grub, 전체 디스크 암호화(LVM 없음) 및 /dev/sdb1에서 암호화되지 않은 /boot/efi를 사용하여 Debian 11을 실행합니다.

시작할 때 두 가지 옵션이 필요합니다.

  1. 암호를 입력
  2. 암호화된 USB 키(/dev/sdb2 잠금을 해제하기 위해 저장된 LUKS 키 파일)를 삽입합니다.

(동일한 사용 사례Luks 암호화 USB 부팅 키- USB 키를 삽입할 때를 제외하고는 비밀번호를 전혀 입력하고 싶지 않습니다.)

내 USB 키는 암호화되어 있으므로 부팅 시 자동으로 잠금이 해제되어야 합니다. 이를 위해 /boot/efi에 저장되는 LUKS 키 파일을 만들었습니다.

이것은 내가 생성한 /etc/crypttab입니다:

USB-KEY /dev/disk/by-label/USB-KEY_LUKSCONTAINER  /boot/efi/USB-KEY.key  luks,keyscript=/bin/cat
cryptroot UUID=xxxx-xxxx--xxxx-xxx  /dev/disk/by-label/USB-KEY:/secret.key:20 luks,discard,keyscript=/lib/cryptsetup/scripts/passdev

USB-KEY를 자동으로 설치하도록 /etc/fstab을 업데이트했습니다.

/dev/mapper/USB-KEY
UUID=yyyy-yyyy-yyyy-yyyy  /mnt/USB-KEY  ext4  nosuid,rw  0 0

부팅 시 USB 키를 삽입했지만 cryptsetup 프롬프트에서 멈춥니다. LUKS 비밀번호를 입력하면 "cryptsetup failed, 잘못된 비밀번호 또는 옵션이 있습니까?"라는 메시지가 표시됩니다. 내가 어디서 잘못됐나요?

관련 정보