cryptopts와 crypttab의 차이점

암호화된 루트 파일 시스템을 설정 중입니다. 이전에 이 작업을 수행한 적이 있지만 이번에는 프로세스에 익숙해지기 위해 대칭 암호가 포함된 PGP 암호화 키 파일을 사용하고 있습니다.

암호화 루트 구성이 발생하는 것으로 보이는 두 곳이 있는데, 아래의 커널 초기화 옵션과 cryptoptsinitramfs 에 무언가를 굽는 /etc/crypttab데 사용되는 것으로 보입니다 .mkinitramfs

두 곳을 모두 업데이트하는 것은 약간 번거롭습니다. 결국 한 곳으로 충분하다면 두 곳에 두는 것이 무슨 의미가 있습니까? /etc/crypttabLUKS 볼륨이 있는 경우 다른 후크와 스크립트를 사용하여 initramfs를 다르게 생성할 수 있기 때문에 물건을 넣는 것의 가치를 봅니다 .

이 문제에 대해 이전에 수정된 예를 사용하면 다음과 같은 암호 탭이 있습니다.

picrypt /dev/mmcblk0p2 /boot/diskkey.gpg luks,keyscript=/lib/cryptsetup/scripts/decrypt_gnupg

아마도 이것은 initramfs에게 /dev/mmcblk0p2name 을 사용하기 위해 암호를 해독해야 한다고 알려주고, 파일을 picrypt사용할 것임을 지정 하고 이를 스크립트 에 전달하여 볼륨에 대한 비밀번호를 생성하도록 합니다.luks/boot/diskkey.gpg/lib/cryptsetup/scripts/decrypt_gnupg

다음으로 커널 초기화 라인의 암호화 옵션은 다음과 같습니다.

cryptopts=target=picrypt,source=/dev/mmcblk0p2,lvm=pi

/dev/mmcblk0p2다시 한번 create 를 다시 지정합니다 . 이 경우 커널 매개변수로 지정된 루트 파일 시스템을 마운트하기 전에 기다려야 하는 picryptcall 이라는 LVM 볼륨이 내부적으로 있음을 알려줍니다 .piroot=/dev/mapper/pi-root

이상하게도 이 설정은 crypttab에 대한 키 파일 및 키 스크립트 인수를 무시하고 GPG 대칭 키 비밀번호를 묻는 메시지를 표시하지 않고 키를 직접 입력하기 때문에 작동하지 않습니다. 포함하도록 스크립트 를 수정 keyscript하지만keyfilecryptopts왜꼭 이 일을 해야 하나요?

/etc/crypttab커널 초기화 라인 의 모든 것을 복제하지 않고 커널 초기화 라인에 이 모든 것(또는 적어도 대부분)을 포함할 수 있는 방법이 있습니까 ? 모든 것을 두 번 변경해야 하는 것은 약간 우스꽝스럽습니다. 이러한 다양한 소스는 후크 형태의 crypttab, cryptsetup에 대한 실제 인수 형태의 cryptopts와 같은 다양한 기능을 제공합니까?