เริ่มอัตโนมัติและปลดล็อกพร้อมต์สำหรับดิสก์สำรองที่เข้ารหัส

ฉันใช้ตัวเลือกการเข้ารหัสพาร์ติชันที่โปรแกรมติดตั้งเสนอมาหลายปีแล้ว

หลังจากใช้เครื่องมือดิสก์ออนบอร์ดของ Ubuntu เพื่อตั้งค่าการเข้ารหัสสำหรับฟิสิคัลดิสก์สำรองด้วย ฉันพบสิ่งต่อไปนี้

• มีตัวเลือกในการเมานต์ดิสก์นี้เมื่อเริ่มระบบ แต่ใช้งานไม่ได้
• ฉันสามารถเลือกดิสก์ด้วยตนเองและเลือกตัวเลือก "ปลดล็อค"
• นอกจากนี้ฉันยังมีให้เลือกเวอร์ชัน "เมานต์" หลังจากนั้น
• เนื่องจากขั้นตอนข้างต้นไม่เป็นมิตรกับผู้ใช้มากนัก จึงมีความอัปลักษณ์อยู่บ้าง: ระบบสร้างการแจงนับที่เพิ่มขึ้นเพื่อให้จุดต่อเชื่อมที่สันนิษฐานไว้ในระบบ (เช่น โดย Docker daemon) ไม่ถูกต้อง

จะทำอย่างไร? มีตัวเลือกให้พิมพ์รหัสผ่านการเข้ารหัสระหว่างการเริ่มต้นระบบสำหรับดิสก์ที่สองด้วยหรือไม่

• ฉันใช้ Ubuntu 20.04.3 LTS
• ยูทิลิตีดิสก์เรียกว่า "Disks - gnome-disk-utility 3.36.3 - UDisks 2.8.4 (สร้างขึ้นจาก 2.8.4)"

ในขณะที่การเข้ารหัสของดิสก์หลักทริกเกอร์พรอมต์เมื่อบูต การปลดล็อคการเข้ารหัสของดิสก์ที่สองจำเป็นต้องเปิดด้วยตนเอง จากนั้นจึงจะเมานต์ปริมาณข้อมูลได้ จะเป็นการดีกว่าหากมีทั้งสองขั้นตอนในการเริ่มต้นเมื่อเกิดขึ้นกับไดรฟ์ข้อมูลหลัก

มีการตั้งค่าที่สอดคล้องกัน แต่ดูเหมือนว่าระบบจะไม่สนใจ

ก่อนอื่น ดูเหมือนว่าเรากำลังจัดการกับการเข้ารหัสของ LUKS ตามสิ่งที่ฉันเห็นจากรูปภาพของคุณด้านบน คำตอบที่เหลือจากที่นี่ถือว่าคุณกำลังใช้การเข้ารหัสของ LUKS

ฉันไม่ได้ใช้เครื่องมือใด ๆ ที่ทำให้การตั้งค่าการถอดรหัสพาร์ติชันอัตโนมัติเป็นไปโดยอัตโนมัติ แต่ฉันได้ทำด้วยตนเอง และนั่นน่าจะใช้ได้กับคุณในกรณีนี้

แทนที่จะสร้างวงล้อใหม่ ฉันจะให้ภาพรวมเล็กน้อย สรุปสิ่งที่ต้องเกิดขึ้น จากนั้นฉันจะชี้ให้คุณดูโพสต์ออนไลน์ที่บันทึกกระบวนการ

ภาพรวม
ระบบของคุณจำเป็นต้องทราบวิธีจัดการพาร์ติชันรองที่เข้ารหัส เพื่อให้ระบบของคุณทราบวิธีจัดการพาร์ติชันนี้ คุณต้องสร้างรายการสำหรับพาร์ติชันนี้ใน /etc/crypttab ไฟล์. ที่นี่คุณจะบอกระบบถึงวิธีถอดรหัสพาร์ติชัน สามารถทำได้ด้วยไฟล์คีย์ที่จัดเก็บไว้ในพาร์ติชันเข้ารหัสหลัก สามารถทำได้โดยใช้สคริปต์ decrypt_derived ซึ่งใช้พาร์ติชันที่ถอดรหัสก่อนหน้านี้เพื่อถอดรหัสพาร์ติชันรอง วิธีการทั้งสองนี้ได้รับการบันทึกไว้ในหน้าที่เชื่อมโยงด้านล่าง มีตัวเลือกมากมายจริง ๆ หากคุณสามารถทำเชลล์สคริปต์ได้และต้องการเจาะลึกลงไปในคีย์สคริปต์ของ LUKS ตัวอย่างเช่น คุณสามารถถอดรหัสระบบของคุณด้วยแท่ง USB แต่กลับไปใช้รหัสผ่านหากไม่มีแท่ง USB

เพียงแค่อัปเดต /etc/crypttab จะไม่เพียงพอ สำหรับดิสก์แบบตายตัว การเข้ารหัสควรเกิดขึ้นเมื่อบูต ดังนั้นคุณต้องเรียกใช้ อัปเดต-initramfs เพื่อสร้างไฟล์สำหรับบู๊ตด้วยการเปลี่ยนแปลงที่คุณเพิ่งทำ โพสต์ที่ฉันเชื่อมโยงไปด้านล่างเพียงอัปเดตเวอร์ชันเคอร์เนลที่กำลังทำงานอยู่ ตรวจสอบตัวเลือกบรรทัดคำสั่งสำหรับคำสั่งนี้เพื่อดูวิธีอัปเดตทุกเวอร์ชันหากคุณต้องการทำเช่นนั้น

เมื่อระบบรู้วิธีถอดรหัสพาร์ติชันแล้ว รายการใน /etc/fstab ควรดูแลการติดตั้งพาร์ติชันอย่างถูกต้องในเวลาบูตหลังจากถอดรหัสแล้ว

การเปลี่ยนเส้นทาง
ดังที่ฉันได้กล่าวไปแล้ว มีคนอื่นเขียนขั้นตอนเฉพาะเพื่อให้สิ่งนี้เกิดขึ้นแล้ว คุณจะพบคำแนะนำเหล่านั้น ที่นี่. ฉันมีโน้ตสองสามอย่างที่ต้องทำ ในผู้เขียน /etc/crypttab ไฟล์ เขา/เธอระบุพาธไปยังดิสก์สำหรับพารามิเตอร์ต้นทาง ฉันชอบระบุ UUID เป็นการส่วนตัวมากกว่า เพราะมันจะยังคงเหมือนเดิมแม้ว่าเส้นทางไปยังอุปกรณ์ของคุณจะเปลี่ยนไป แต่ถ้าคุณแน่ใจว่าเส้นทางไปยังอุปกรณ์ของคุณจะไม่เปลี่ยนแปลง การใช้เส้นทางนั้นก็จะได้ผล หากคุณเลือกใช้ UUID บรรทัดในไฟล์ crypttab ของคุณจะมีลักษณะดังนี้:

part2_crypt UUID=<uuid> <พาธไปยังไฟล์คีย์> luks

หรือ

part2_crypt UUID=<uuid> <part1_crypt> luks,initramfs,keyscript=/lib/cryptsetup/scripts/decrypt_derived

แน่นอนค่าสำหรับ <part1_crypt> จะเป็นพารามิเตอร์แรก (ชื่อ) ที่แสดงสำหรับดิสก์เข้ารหัสหลักของคุณในไฟล์นี้ คุณสามารถค้นหา UUID ของดิสก์ที่เข้ารหัส LUKS ได้โดยการเรียกใช้
sudo blkid | grep "crypto_LUKS"

เกรปปิ้งสำหรับ คีย์ ctl อาจไม่จำเป็นในกรณีของคุณ และจากประสบการณ์ของฉันกับ Ubuntu 20.04 ฉันไม่ต้องแก้ไข /etc/default/grub เช่นเดียวกับที่ผู้เขียนโพสต์ทำ