[Megoldva] Fedora16 Encypted System SSD, encrypted DATA HDD Ultrabay Ext4

Merevlemezek, vezérlők

Sziasztok,

Van egy Lenovo T520-am, amiben van egy SSD és az Ultrabay-ben egy HDD.

Az eredeti felállás az volt, hogy volt egy HDD-m, amin csak a /boot volt titkosítatlan és swap, root, storage nevű fájlrendszerek titkosítottak.

Aztán meglett az SSD.
/boot - SSD-n titkosítatlan
/ és swap - SSD-n titkosított

A HDD-t pedig így oldottam meg:
A HDD-n kézzel megcsináltam az egészre egy LUKS és arra egy ext4 fájlrendszert. Mert ha az installerrel csináltattam a titkosítást, akkor ha az ultrabay nem volt benn nem indult el a Fedora, de többé már akkor sem, ha visszatettem az ultrabay-t. Így most a HDD-ról a storage fájlrendszer boot után nincs felmountolva. Ha Nautilus-ban rányomok az Encrypted blabla filesystem-re, akkor jelszót kér és magától felmountol-ja, pont úgy mint az ugyanilyen az USB-s hasonló HDD-met. Tehát már nem függök attól, hogy bent van-e az ultrabay és a HDD vagy nem.

Van valakinek ötlete, hogy lehetne ezt automatizálni? Ha kell a jelszót is megjegyeztetem vele (nem a jelszót szeretném védeni, hanem a kikapcsolt és esetleg ellopott gép adatait). Azt tapasztaltuk ma, hogy ha nem használja semmi, akkor a /media/storage-t simán le lehet rootjog nélkül is mountolni, de a "mount /dev/mapper/udisks-luks-uuid-blablabla" nem működik, mert nincs benne a /etc/fstab-ban. Nem is biztos, hogy szeretném, hogy az fstabban legyen, meg kérdés, hogy akkor mi kérné a jelszót... gondolom nem a /boot-on lévő cucc, mint a rootfs esetében. Valahogy meg lehet hívni egy scriptből induláskor azt a folyamatot, ahogy a Nautilus is felmountolja rootjog és minden hasonló nélkül az eszközt?

MEGOLDÁS:

  • 2364 megtekintés

( talisker | 2012. 05. 07., h – 15:50 )

Elvileg ha az /etc/crypttab-ba felveszed a LUKS partíciót, akkor boot időben megpróbálja felnyitni.
Adhatsz neki password-öt, vagy kulcsfile-t.
Ezek után meg az /etc/fstab-ba be kell rakni a felnyitott partíciót, hogy hova legyen mountolva.
Ha az eredeti device nem áll rendelkezésre boot során, akkor nem fogja mountolni.

Nekem hasonló szituációm van, azzal a különbséggel, hogy nem cserélhető médián van a titkosított fájlrendszer.

Ha meg boot után dugod rá a hardver eszközt, akkor a Gnome shell érzékeli, hogy LUKS partíció van a storage médián és rákérdez a LUKS jelszavára, hogy ki akarod-e nyitni.

Nálam is így van a notebook telepítve.
/boot nem titkosított
/ és swap igen, továbbá van pár LVM feletti LUKS partíció, amiket boot során szépen felcsatolgat.
Az /etc/cryptab-ban fel vannak sorolva a LUKS partíciók, az egyébként titkosított / fájrendszeren lévő kulcsfájlok-ra hiovatkozással. Így boot során egy kézi jelszómegadás van, a többi partíció meg a crypttab alapján automatikusan unlockolódik majd pedig az fstab alapján mountolódik.
Az LVM-es LUKS partícióknak egyébként egyenként akár külön passwordjük is lehet, mint ahogyan nálam van is.

Elvileg az is megoldható, hogy a storage rádugása után ne kérdezzen jelszót, hanem a / fájlrendszeren meglévő szabály alapján automatikusan megtörténjen ez.

---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)

Köszi szépen! Az előbb találtam meg pont ezt amit írtál és ki is próbáltam:
-felvettem a /etc/crypttab-ba:
luks-széphexa UUID=széphexa none

-továbbá az /etc/fstab-ba:
/dev/mapper/luks-széphexa /media/storage ext4 defaults 1 2

Így most tök magától felmountolja. A jelszót gondolom onnan tudja, hogy a Root és swap jelszava is ugyanaz, amit a boot legelején bekér. Így az esetek 99%-ban a probléma megoldva.

Most már csak akkor van gond, ha nincs bent az ultrabay, akkor simán nem indul el. Viszont egy idő után szépen timeout lesz és felajánlja, hogy kaphatok root promptot root jelszóért cserében. Ilyenkor ha kikommentezem az fstab-ból, akkor elindul a HDD nélkül is. Erre még valami ötlet, hogy ne görcsöljön, ha nincs ott a HDD?

Köszi!

Ebben az esetben nem crypttab-os megoldás játszik, hanem rc.local-os okoska script. (ez a Fedora16-ban alapban nincs, létre kell hozni az /etc/rc.d alá)
Itt le kéne csekkolni, hogy létezik-e a device, ha igen akkor cryptsetup luksOpen stb., amit szintén lehet parancs sorosan megadott jelszóvan nyitni, majd mountolni.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)