Полное шифрование диска с помощью dm-crypt (без LUKS)

В настоящее время я пытаюсь добиться полного шифрования диска с использованием dm-crypt в обычном режиме без заголовка LUKS с отдельной /boot на USB-накопителе.

Моя главная цель – добиться правдоподобного отказа в дистрибутиве на Debian. На данный момент мне удалось зашифровать разделы с помощью cryptsetup и установить раздел /boot на отдельный USB-ключ. Все идет так, как нужно, и поскольку заголовок для шифрования не сохраняется в LUKS, мне нужно вручную ввести его на экране initramfs, но на этом шаге я просто получаю сообщение об ошибке, указывающее, что в initramfs нет cryptsetup ("/ bin / sh: cryptsetup: not found "), пытаясь разобрать заголовок.

В заключение:

  • dev/sda зашифрован с использованием dm-crypt ( /root и /home volume) с помощью:
 cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda 
  • dev/sdb boot stick с установленным grub

Я могу успешно загрузиться с загрузочного устройства. Я вижу заставку Ubuntu в течение примерно 20 секунд, и это то, что я хотел достичь для правдоподобной отрицательности, а затем она падает до initramfs, жалующегося на то, что не может найти /dev/mapper/root что также является тем, чего я хотел достичь.

Проблема в том, что когда я хочу проанализировать строку cryptsetup, которая позволит мне ввести пароль и продолжить загрузку, тогда initramfs жалуется на «cryptsetup: not found».

Думаю, эта жалоба верна. Мой вопрос: как установить cryptsetup в initramfs, чтобы он позволял загружать лишнюю загрузку для подсказки пароля?

Кроме того, я знаю, что я опускаю что-то с добавлением соответствующих записей в /etc/fstab , /etc/crypttab и устройства не обнаруживаются во время запуска.

Это руководства, которые я нашел и использовал для настройки всех текущих конфигураций, возможно, это позволит прояснить то, что я не затронул в своем вопросе:

  • http://and1equals1.blogspot.ro/2009/10/encrypting-your-hdd-with-plausible.html
  • https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Plain_dm-crypt

Первый из них немного устарел, а второй для Arch Linux, но я использовал два из них с новейшей установкой Lubuntu с небольшой настройкой.

  • Как я могу использовать два загрузочных дистрибутива Linux, сохраняя один в качестве основного и постоянно меняя второй?
  • Совместное использование / загрузка между двумя установками Ubuntu 12.04 Server?
  • Установить файловую систему только для чтения и перенаправить записи в ОЗУ?
  • Sudo su issue на ubuntu 14.04 lts: / root / zsh не может быть найден
  • Сбой плагина Java на Ubuntu 16.04 / Firefox ESR 52.2.0
  • Как смонтировать раздел LVM?
  • Обновление приложений без метапакетов?
  • Скрытый ввод Tmux в командной строке
  • One Solution collect form web for “Полное шифрование диска с помощью dm-crypt (без LUKS)”

    Согласно initramfs-tools (8) , можно добавить программы в образ initrd, добавив, например, следующий скрипт hook :

    copy_exec / sbin / cryptsetup / sbin

    Примеры скриптов hook можно найти в /usr/share/initramfs-tools/hooks а в моей системе Ubuntu /usr/share/initramfs-tools/hooks/cryptroot действительно добавляет /sbin/cryptsetup к изображению initrd .

    Пример:

     $ gzip -dc /boot/initrd.img-`uname -r` |  cpio -tv 2> / dev / null |  grep cryptsetup
     => Пока не включен cryptsetup.
    
     $ cat / etc / initramfs-tools / hooks / fde
     #! / Bin / ш
    
     ,  / USR / доли / initramfs-инструменты / крючок-функции
     copy_exec / sbin / cryptsetup / sbin
    
     $ sudo chmod 0755 / etc / initramfs-tools / hooks / fde
     $ sudo update-initramfs -u
    
     $ gzip -dc /boot/initrd.img-`uname -r` |  cpio -tv 2> / dev / null |  grep cryptsetup
     -rwxr-xr-x 1 корень root 59248 21 августа 04:04 sbin / cryptsetup
     -rw-r-r-- 1 корень root 158848 21 авг 04:04 lib / x86_64-linux-gnu / libcryptsetup.so.4
    
    Linux и Unix - лучшая ОС в мире.