我遇到了很多问题,要使加密的多磁盘根文件系统在Debian Jessie上的systemd下可靠地启动,而只需输入一次密码即可。以前,我已经在Debian中通过decrypt_derived在/ etc / crypttab中使用除第一个设备之外的所有设备上的键脚本来解决此问题,并且效果很好。
但是,当引入systemd时,这不能很好地发挥作用。systemd-cryptsetup-generator不处理键盘脚本,当试图查找有关如何解决此问题的更多信息时,我仅从一位系统开发人员的电子邮件中发现对某些自定义密码代理的模糊引用,它仅给出无用的建议,即“易于编写”其他代理。遵循的基本算法如下所示”,然后列出了要采取的13个步骤。显然不适合最终用户。
在Debian中,我通过使用几个内核选项使它在某种程度上起作用,这些选项告诉systemd/etc/crypttab在启动过程中忽略或完全忽略它。Debianupdate-initramfs将把脚本复制到initramfs并在systemd接管之前解锁设备,但是我发现这会导致以后出现问题,因为systemd现在没有用于解密设备的任何单位文件,因此依赖于它们的装载有时似乎挂起了或延误。尝试挂载btrfs子卷时,会发生中断。它们是从与root用户相同的物理设备安装的,但是systemd不知道这些设备已被解锁,并在启动时暂停。
TL; DR-我的实际问题:
处理跨越多个设备(例如btrfs系统,LVM镜像等)的加密根文件系统的系统方法是什么,您只需输入一次密码即可?我几乎不认为这是一个异常情况,因此希望这里有一个适当的方法可以做到这一点。
我想到了一些可能的解决方案:
我确实专门运行Debian,但是在尝试了几天的解决方案之后,我觉得这可能是一个更广泛的系统问题。
现在有一个解决此问题的方法(至少在Ubuntu 18.04+中,所以我认为是Debian和CentOS-7)。在这里描述。报价单:
Systemd ...将解锁所有其他LUKS分区,如果
- 您要解锁的所有分区都使用相同的密码
- 您第一次正确输入根分区的密码。如果弄错了,则需要为其他所有LUKS分区再次输入
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句