Похоже, что ответ @Mikhail Morfikov касается монтирования на этапе initramfs . Альтернативой (, если это не корневая файловая система ), является автоматическое расшифрование и монтирование раздела через systemd после загрузки ядра linuz. Конечно, это возможно, только если вы используете systemd . Я объясню метод здесь:
Запись /etc/crypttab
:
crypt2 UUID=e412-blahblah /path/to/crypt2.key luks,noauto
Здесь noauto
— это инструкция , а не , чтобы попытаться расшифровать диск на этапе initramfs .
Выше e412-blahblah
— это UUID раздела, содержащего систему luks, в моем случае это раздел /dev/sdb2
:
.
# blkid | grep sdb2
/dev/sdb2: UUID="e41274d8-fd83-4632-b560-ad0ba113ae75" TYPE="crypto_LUKS" PARTUUID="5673a908-02"
Во время запуска ядра linuz systemd прочитает файл /etc/crypttab
и создаст файл службы времени выполнения /run/systemd/generator/systemd-cryptsetup@crypt2.service
. Однако эта служба не запускается автоматически.Вы можете запустить его вручную
systemctl start systemd-cryptsetup@crypt2.service
но для его расшифровки и последующего монтирования во время запуска /etc/fstab
может потребоваться следующим образом:
/dev/mapper/crypt2--vg-data /media/crypt-data ext4 defaults,noauto,user,x-systemd.automount,x-systemd.requires=systemd-cryptsetup@crypt2.service 0 2
Здесь x-systemd.automount
— инструкция systemd для монтирования /media/crypt-data
, а x-systemd.requires=systemd-cryptsetup@crypt2.service
— инструкция systemd о том, что требуется расшифровка crypt2
перед тем, как это будет возможно.
В systemd не будет фактически монтировать каталог до первого обращения к нему, например. ls /media/crypt-data
, то он смонтируется только -за -раз и после этого появится в /proc/mounts
.
Связанные
Вы можете спросить: «*зачем зашифрованный диск данных с ключом в корневой файловой системе?». Это потому, что корневая файловая система также зашифрована, поэтому ключ в безопасности. Корневая файловая система расшифровывается на этапе загрузки initramfs , а-ля ответ Михаила. У меня есть другая запись в файле /etc/crypttab
для этого :
.
crypt1 UUID=8cda-blahbalh none luks,discard,lvm=crypt1--vg-root
и я описываю настройку этого и загрузочного USB здесь