Pagina 1 di 1

[RISOLTO] caricare keyfile per LUKS da penna usb al boot

MessaggioInviato: 26/06/2017, 10:56
da Infrid
ciao a tutti,

in azienda abbiamo delle nuove norme da rispettare tra cui quella di tenere i dischi che contengono dati sensibili crittografati! O0

Ho fatto una re-installazione di debian sul mio portatile con un LUKS+LVM usando una password per sbloccare i volumi.

Dovrei ripetere la stessa procedura su altre due macchine fisse, ma non posso ogni volta inserire una password per sbloccare i dischi durante il boot. Ho visto che LUKS è in grado di caricare dei keyfile per sbloccare i volumi e si potrebbe in teoria caricare tali file da un supporto usb.

Questo è quello che ho capito dalla teoria, ma in pratica ho le idee un po' confuse, è passato un po' di tempo da quando giocavo con gli script di init V.

Il primo passo è creare un keyfile ed aggiungere questo file a LUKS, ma non ho ben capito dopo come fa il sistema a montare una penna usb e cercare il keyfile. Ho visto un po' di articoli in rete ma alcuni includono script bash manualmente in initramfs, altri smanettano un po' con dracut ed altri ancora suggeriscono di inserire una sola riga nella configurazione di grub.

A me piacerebbe ovviamente una configurazione semplice e che sopravviva automaticamente ad ogni upgrade del kernel, dove i colleghi possano tranquillamente riavviare la macchina (o staccare la spina all'improvviso) senza dovermi chiamare per inserire la password (o doverla spiattellare ai 4 venti).

Qualcuno ha già avuto a che fare con un setup del genere?

grazie

Re: caricare keyfile per LUKS da penna usb al boot del siste

MessaggioInviato: 26/06/2017, 11:40
da byte64
Tempo fa avevo fatto così:
creato un mapper in /etc/crypttab
nomecrypt /dev/disk/by-uuid/uuiddellamemoriausb /keyfile luks

quindi inserito in /etc/fstab:
/dev/mapper/nomecrypt /media/nomemount ext3 defaults 0 2


nessuno script o altro....
.....spero sia chiaro
ciao

Re: caricare keyfile per LUKS da penna usb al boot del siste

MessaggioInviato: 26/06/2017, 11:41
da Infrid
si chiaro grazie, ma se per disgrazie la penna USB cade o si rompe, LUKS automaticamente passa a chiedere la password, giusto?

Re: caricare keyfile per LUKS da penna usb al boot del siste

MessaggioInviato: 26/06/2017, 12:00
da byte64
Non ricordo, ma mi pare che quando la penna non era colleagata al boot veniva richiesta la passwird comunque, dovrei riprovare, è un po' che non utilizzo filesystem cryptati, se trovo tempo faccio qualche test nel caso...
Sicuramente di quelle penne USB ne farai almeno 2 copie vero? O almeno copierai i keyfiles in un qualche luogo sicuro...
Anche se a quel punto occhio agli UUID delle penne...

Re: caricare keyfile per LUKS da penna usb al boot del siste

MessaggioInviato: 26/06/2017, 12:02
da Infrid
ovviamente, faccio 3 copie di cui una su carta :)

Re: caricare keyfile per LUKS da penna usb al boot del siste

MessaggioInviato: 11/07/2017, 16:40
da Infrid
alla fine sono riuscito nell'intento, ho formattato una pendrive ext4 e messo dentro il mio keyfile e modificato /etc/crypttab come segue

Codice: Seleziona tutto
sda5_crypt UUID=xxxxxxxxx-112b-46e9-a715-6761b34d66b4 /dev/disk/by-uuid/yyyyyyyyyyyyyyyy:/keyfile luks,keyscript=/lib/cryptsetup/scripts/passdev


al boot il sistema cerca la mia penna usb con quell'uuid e sblocca la macchina, se non è presente si ferma, per fare in modo che chieda la password è necessario un piccolo script che faccia tutti i controlli...

Ho provato ad usare fat32 come fs della pendrive ma mi dava problemi al boot di questo tipo, appena ho più tempo indago

Immagine

Codice: Seleziona tutto
FAT-fs (sdb): codepage cp437 not found Failed to mount /dev/disk/by-uuid/FAB2-7ACD