Вопросы Теги

Можно ли настроить NGINX для перенаправления HTTP-запроса на SSH-соединение?

Похоже, что ответ @Mikhail Morfikov касается монтирования на этапе initramfs . Альтернативой (, если это не корневая файловая система ), является автоматическое расшифрование и монтирование раздела через systemd после загрузки ядра linuz. Конечно, это возможно, только если вы используете systemd . Я объясню метод здесь:

Запись /etc/crypttab:

crypt2 UUID=e412-blahblah /path/to/crypt2.key luks,noauto

Здесь noauto— это инструкция , а не , чтобы попытаться расшифровать диск на этапе initramfs .

Выше e412-blahblah— это UUID раздела, содержащего систему luks, в моем случае это раздел /dev/sdb2:

. 

# blkid | grep sdb2
/dev/sdb2: UUID="e41274d8-fd83-4632-b560-ad0ba113ae75" TYPE="crypto_LUKS" PARTUUID="5673a908-02"

Во время запуска ядра linuz systemd прочитает файл /etc/crypttabи создаст файл службы времени выполнения /run/systemd/generator/systemd-cryptsetup@crypt2.service. Однако эта служба не запускается автоматически.Вы можете запустить его вручную 

systemctl start systemd-cryptsetup@crypt2.service

но для его расшифровки и последующего монтирования во время запуска /etc/fstabможет потребоваться следующим образом:

/dev/mapper/crypt2--vg-data /media/crypt-data ext4 defaults,noauto,user,x-systemd.automount,x-systemd.requires=systemd-cryptsetup@crypt2.service 0 2

Здесь x-systemd.automount— инструкция systemd для монтирования /media/crypt-data, а x-systemd.requires=systemd-cryptsetup@crypt2.service— инструкция systemd о том, что требуется расшифровка crypt2перед тем, как это будет возможно.

В systemd не будет фактически монтировать каталог до первого обращения к нему, например. ls /media/crypt-data, то он смонтируется только -за -раз и после этого появится в /proc/mounts.

Связанные

Вы можете спросить: «*зачем зашифрованный диск данных с ключом в корневой файловой системе?». Это потому, что корневая файловая система также зашифрована, поэтому ключ в безопасности. Корневая файловая система расшифровывается на этапе загрузки initramfs , а-ля ответ Михаила. У меня есть другая запись в файле /etc/crypttabдля этого :

. 

crypt1 UUID=8cda-blahbalh none luks,discard,lvm=crypt1--vg-root

и я описываю настройку этого и загрузочного USB здесь

3
09.02.2021, 10:30
0 ответов

Теги

Похожие вопросы