1. Затираешь диск.
2. Делаешь бессигнатурно шифрованный раздел (cryptsetup plain mode).
3. В нём делаешь LUKS.
4. Создаёшь на LUKS ФС, форматируешь её, переносишь данные.

Я так понял – это все в LiveCD делать, да? В штатном инсталляторе нет возможности выйти в консоль.
Или это только в Debian\Ubuntu? В производных от них дистрах нет выхода в консоль и расширенной версии инсталлятора.

Офтоп: Правильно ли я понимаю, что перейдя на Debian – у меня не изменится ровным счетом ничего. То есть – все инструкции в случае косяка – равнозначны с Ubuntu, проблемы решаются так же, так же поставлю себе привычный Cinnamon и прочие офисы, громоптицы, виртуалбоксы и тд? Работа в консоли будет та же самая, только вместо apt-get будет aptitude и вместо sudo\gksudo – будет su. Все верно? Разница лишь в несовместимости пакетов?
Критично наличие манов на русском. Я его проще воспринимаю. А то, куда ни глянь – новичкам Gentoo советуют^[link2], зная Миллера – в лучшем случае забанит, в худшем заставит ему для РН проект НПЗ рисовать, из за приставаний с Гентой))

W^[link3]hile it is designed as a drop-in sysvinit replacement and as such makes use of existing SysV init scripts, the systemd package can be installed safely alongside sysvinit and started via the init=/bin/systemd kernel option.

Y^[link4]es, but it is a one way process. You can go from stable --> testing --> unstable. But the reverse direction is not "possible". So better be sure if you are planning to install/upgrade to unstable.

But if the third field contains 'jessie' then you will be tracking stable (since jessie will then be the new stable distribution).

Я говорю не про обновление с wheezy до нового стейбла, а с тестинга до стейбла, тестинг которого и стоял.

Щадящего решения не нашел. Чувствую, что проблема для знающих не проблема.
Открыл раздел в другой системе без вопросов. Можно установить новую систему и перенести содержимое раздела, но это в крайнем случае и правда нет опыта переноса с зашифрованного раздела.
Нужно же будет править fstab и crypttab и врядли этим обойдется.

В сущности, Вам нужно сделать следующее:

1. Подключить диск к системе с совместимой версией cryptsetup.
2. Создать директорию, куда будете монтировать систему, допустим /mnt/crypt.
3. Подключить зашифрованный раздел. Если этот раздел имеет имя sdb1, выполните cryptsetup luksOpen /dev/sdb1 crypt.
4. Смонтируйте файловую систему зашифрованного раздела: mount -v /dev/mapper/crypt /mnt/crypt.

Если помимо корневого раздела в зашифрованной системе есть другие (например, /var или /usr находятся на самостоятельных разделах), Вам придётся повторить пункты 3-4, смонтировав их внутрь корневого (например, в случае /usr — в /mnt/crypt/usr).

Затем выполните следующее:

export MNT=/mnt/crypt mount -t proc none $MNT/proc mount -o bind /dev $MNT/dev mount -o bind /tmp $MNT/tmp chroot $MNT /bin/bash

С этого момента Вы залогинены в подключенную зашифрованную систему. Можете сделать даунгрейд cryptsetup и выйти (Ctrl+D), после чего выполните размонтирование в обратном порядке:

export MNT=/mnt/crypt umount $MNT/tmp umount $MNT/dev umount $MNT/proc # Размонтируйте другие зашифрованные ФС, если таковые есть, например, # umount $MNT/usr umount $MNT # Отключите другие зашифрованные разделы, если таковые есть, например, # cryptsetup luksClose crypt-usr cryptsetup luksClose crypt

Советуют для полного чрута делать ещё проброс /dev/pts и /sys [1]^[link6], [2]^[link7].

Удивляюсь, что такого могло произойти в самом cryptsetup, что система перестала грузиться, там же обратная совместимость довольно сильная. Спрашивающий уверен, что дело именно в версии cryptsetup, а не в чём-то ещё? Как он это определил? Система может не грузиться по множеству причин, и, честно говоря, обновление cryptsetup явно не ТОП типичных случаев.

Здесь произошел затык.
$ umount: /dev: target is busy

Сделал:
$ sudo lsof | grep $MNT/dev
lsof: WARNING: can't stat() fuse.vmware-vmblock file system /run/vmblock-fuse

lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/1000/gvfs

systemd 1 root 0u CHR 1,3 0t0 1028 /dev/null
...
...

Получил бесконечный список процессов :((
Как отмонтировать ума не приложу. Тупо сбрасывать страшно (

Могло произойти неправильное обновление. процесс мог быть не завершен. Что то некорректно произошло.
А в чем еще может быть проблема? Система до обновления грузилась. Ничего больше не устанавливалось и не менялось.
Зашифрованный раздел монтируется и открывается в другой системе.

Ничего страшного произойти не должно. Можно просто ребутнуться, выполнить команду reboot или shutdown.

Объяснение гениальное. С чего вы взяли, что обновился только cryptsetup? И правда ли это? Для вас система — чёрный ящик, а информацию, которую вы озвучиваете, более-менее достоверно может выяснить только специалист (причину проблемы).

Не знаю, какие изменения в системе повлекло за собой обновление cryptsetup. Если вы это делали в командной строке, там всё это пишется.

Какой тип Debian? Stable? Unstable? Testing?

Сомневаюсь, что 1.6 не имеет обратной совместимости с 1.4. Может быть, там просто были изменены дефолты какие-то. Я бы для начала попытался подключить шифрованный диск вручную из загрузчика (initramfs-шелл), чтобы понять, что именно не работает, но опять же, как всегда, всё это упирается в знание и понимание, без этого проблемы такого сорта крайне трудно фиксить.

Вам удалось сдаунгрейдить версию cryptsetup? Теперь всё заработало?

Перезагружался.

В репозитории 1.4. Скачал с debian.org пакет *.deb 1.6 и установил через установщик пакетов (не через dpkg -i).
Система wheezy с последними штатными обновлениями.

Начало загрузки:
Please unlock disk "name" (штатное предложение). Usage: cryptsetup [-?vyrq] [-?|--help] [--usage] [--version] [-v|--verbose] [--debug] [-c|--cipher=STRING] [-h|--hash=STRING] [-y|--verify-passphrase] [-d|--key-file=STRING] [--master-key-file=STRING] [--dump-master-key] [-s|--key-size=BITS] [-l|--keyfile-size=bytes] [--keyfile-offset=bytes] [--new-keyfile-size=bytes] [--new-keyfile-offset=bytes] [-S|--key-slot=INT] [-b|--size=SECTORS] [-o|--offset=SECTORS] [-p|--skip=SECTORS] [-r|--readonly] [-i|--iter-time=msecs] [-q|--batch-mode] [-t|--timeout=secs] [-T|--tries=INT] [--align-payload=SECTORS] [--header-backup-file=STRING] [--use-random] [--use-urandom] [--shared] [--uuid=STRING] [--allow-discards] [--header=STRING] [--test-passphrase] [--tcrypt-hidden] [--tcrypt-system] [--tcrypt-backup] [-M|--type=STRING] [--force-password] [OPTION...] <action> <action-specific>

— type:unknown option
мерцающий курсор

Система не запустилась.
Сейчас попробую посмотреть применился ли даунгрейдинг.

# cryptsetup --version
cryptsetup 1.4.3

Да версия изменилась. Даунгрейд делал через удаление 1.6 и установки *.deb пакета 1.4.
Правильно? Ибо, synaptic не пашет, как и apt.

Почему же не грузится ((

Это очень сложно?
Я доходил до initramfs, но дальше не хватает знаний.

Может в таком случае проще установить систему с ноля и перебросить туда систему с зашифрованного диска?

Попробовал переустановить cryptsetup еще раз. Получил такую строку:
Обрабатываются триггеры для initramfs-tools …
/boot/initrd.img-3.2.0-4-686-pae does not exist. Cannot update.

Чую не нормально.

Если это не штатное обновление, предусмотренное системой, то не представляю, что вы могли сделать, чтобы установить пакет. Такие операции в Debian stable не предусмотрены. Насильственная установка пакета рушит зависимости/линковку с библиотеками, в итоге получится не просто новый cryptsetup, а нерабочий. Т.е. у вас дело, скорей всего, не в том, что 1.6 несовместим с 1.4, а в том, что 1.6 не был установлен нужным образом.

Узнать зависимости можно тут^[link8] (для jessie). Каждый из пакетов, от которых зависит cryptsetup, тоже зависит от чего-то. Цепочка зависимостей должна раскручиваться полностью, и все, требующие обновления пакеты, обновлены. Однако, это приведёт к тому, что будут обновлены пакеты, от которых зависят какие-то посторонние третьи, и тогда те третьи тоже придётся обновить. В итоге вам придётся обновлять половину системы, если не вообще всю, с риском всё угробить.

Если вам так позарез нужен 1.6, нужно было читать инструкции, а потом целиком обновлять wheezy до jessie (или до squeeze, а потом до jessie).

Вот 1.4 – https://packages.debian.org/wheezy/cryptsetup
Я взял отсюда (бэкпортов)1.6 – https://packages.debian.org/ru.....backports/cryptsetup^[link9]
Установился, надо сказать, ни чивхнув ни кашлянув.

Вот это то и была моя самая первая версия. А так как в системе полнодисковое шифрование, то это связано с initrd.
Вот что меня и смутило: "/boot/initrd.img-3.2.0-4-686-pae does not exist. Cannot update"
После операции по внешнему даунгрейдингу cryptsetup, система обрела прежнюю работоспособность (не в прямом смысле, но через копирование). Из чего можно сделать вывод, что изменения не были уж такими глубокими.

Да вот в том то и дело, что не позарез. Так добавить функционалу). В системе и так есть TC. А мне вот понадобилось и такое..
Правильно говорят: работает не трожь!