РегистрацияЗагрузка и монтирование корневой фс с зашифрованного устройства без использования luks
Цель – монтирование корневой фс, находящейся на зашифрованном устройстве, при начальной загрузке. Загрузчик и ядро находятся на съёмном устройстве (флешке) в незашифрованном виде. Ключ шифрования тоже на флешке, но в зашифрованном виде, чтобы при доступе посторонних к флешке нельзя было загрузиться. Ключ расшифровывается по паролю при загрузке. Все диски на стационарной машине шифруются. luks не устраивает по той причине, что оставляет заголовки. При отказе от luks отсутствуют признаки наличия информации на устройстве.
Дистрибутив – Fedora. После установки системы носитель с корневой фс не зашифрован и имеем обычную секцию grub.conf
Далее корневая фс переносится с помощью rsync на виртуальный шифрованный диск /dev/mapper/hdd2 соответствующий физическому диску /dev/sdb. Создаётся дополнительная секция grub.conf
Отличается от предыдущей секции двумя изменениями
1. root=/dev/sda1 -> root=/dev/mapper/hdd2
2. initramfs-XXXXXX.img -> initramfs-NEW.img
Второе изменение необходимо чтобы подготовить виртуальное устройство /dev/mapper/hdd2 перед его монтированием. Для этого изменяется initramfs следующим образом:
1. В начале файла /mount/mount-root.sh, до команды 'mount' добавляется строка:
2. Добавляется файл ключа key в каталог /etc (пока в открытом виде)
После перезагрузки и выбора второй секции меню grub появляются сообщения:
:WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
(... та же строка повторяется раз 20 ...)
No root device found
Boot has failed, sleeping forever
Вопрос в том, как правильно изменить initramfs. Или может в новых ядрах есть опции, в которых можно указать признак шифрования корневой фс и файл с ключом?
| — | Гость (19/05/2011 02:40) <#> |
