LINUX.ORG.RU
ФорумGeneral

[РЕШЕНО] Отключение Please enter passphrase for disk

 , , , ,


0

1

Подскажите, пожалуйста, по LUKS и cryptab, имеется /etc/crypttab для теста (чисто для теста, ознакамливаюсь) пока такое решение:

luks_sdc /dev/sdc ПАРОЛЬ
  • В salix64-xfce-15.0 [slackware-15.0] - данное решение работает
  • В linuxmint-21.2-xfce-64bit [ubuntu-22.04] - пишет при старте на уровне графики
Please enter passphrase for disk ИМЯ_ДИСКА (luks_sdc):

и соответственно вопрос, можно ли как-то и как отключить, этот запрос на весь экран хотя бы для этого диска и что бы пароль подтягивался из crypttab?

  • Параметр ASKPASS=n в /etc/cryptsetup-initramfs/conf-hook тоже положительного результата/задумки не дал
★★★★★

Последнее исправление: NK (всего исправлений: 3)

Ответ на: комментарий от anonymous

Сначала мысли были на файл с ключем, но по ходу нет

и странный совет, когда вопрос уровня, почему в _slack15.0 способ-то работает без keyfile?

NK ★★★★★
() автор топика
Последнее исправление: NK (всего исправлений: 1)
Ответ на: комментарий от NK

Сначала мысли были на файл с ключем, но по ходу нет

Что «нет»? Какая разница, что там у кого-то было десять лет назад? Ещё раз: man crypttab. Там написано, что делать, это всё работает.

почему в _slack15.0 способ-то работает без keyfile?

Потому что если не используется реализация из systemd, то у каждого дистрибутива свой велосипед. Поэтому нужно читать документацию именно от конкретного дистрибутива.

anonymous
()
Ответ на: комментарий от anonymous

https://www.freedesktop.org/software/systemd/man/latest/crypttab.html

хорошо, допустим, а просто фразу_пароль в key_file прописать можно? Желание есть иметь один keyslot, а то получается

  • 0 для всякого случая
  • 1 для загрузки
NK ★★★★★
() автор топика
Последнее исправление: NK (всего исправлений: 1)
Ответ на: комментарий от NK

хорошо, допустим, а просто фразу_пароль в key_file прописать можно?

Скорее всего.

Желание есть иметь один keyslot

Желание странное, на самом деле.

А ты пароль пытаешься туда впихнуть не для устройства с корневой ФС? Так, на всякий случай интересуюсь.

anonymous
()
Ответ на: комментарий от anonymous

для HDD с файлопомойкой, но это пока проба пера. Для корня у меня есть на примете руководство

Это спасибо заранее за подсказки, я не думал что прям так все сурово на systemd… Еще спросить хочу, ну вот

man crypttab

ну я например не вижу информации за создание keyfile, здесь вот есть

не знаете куда смотреть, я здесь про что бы все ровненько, правильно сделать? как там описывается в духе

generate strong LUKS key file

PS с passphrase в keyfile получилось

echo -n passphrase > /полный.путь/до/keyfile
NK ★★★★★
() автор топика
Последнее исправление: NK (всего исправлений: 1)
Ответ на: комментарий от NK

Для корня у меня есть на примете руководство

Во-первых, у Slackware есть своё нормальное руководство. Во-вторых, оно работает только для Slackware.

я не думал что прям так все сурово на systemd

В Debian и производных systemd-cryptsetup использовать можно, но по умолчанию оно не используется. Если бы ты всё же открыл ман, на который я ссылался, то там по этому поводу есть кое-что. Для простых случаев оно совместимо.

generate strong LUKS key file

По ссылке не ходил, можешь просто взять некоторое количество байтов из /dev/random:

dd if=/dev/random of=keyfile.bin bs=1 count=64

Вместо 64 можно и большее число при желании, но там в любом случае более чем достаточная энтропия.

anonymous
()
Ответ на: комментарий от anonymous

Если бы ты всё же открыл ман, на который я ссылался, то там по этому поводу есть кое-что. Для простых случаев оно совместимо.

вы про https://manpages.debian.org/bookworm/cryptsetup/crypttab.5.en.html ?

ON DIFFERENT CRYPTTAB FORMATS

Please note that there are several independent cryptsetup wrappers with their own crypttab format. This manpage covers Debian's implementation for initramfs scripts and SysVinit init scripts. systemd brings its own crypttab implementation. We try to cover the differences between the systemd and our implementation in this manpage, but if in doubt, better check the systemd crypttab(5) manpage, e.g. online at https://www.freedesktop.org/software/systemd/man/crypttab.html.
NK ★★★★★
() автор топика
Ответ на: комментарий от NK

Да, именно про это. Если в Debian хочется использовать только systemd-cryptsetup, то не нужно ставить пакет cryptsetup, только cryptsetup-bin. В этом случае понадобится и альтернативный генератор initramfs для зашифрованного корня, например, dracut. Но если нет веских причин для этого всего, то хватит и штатной дебиановской обёртки.

anonymous
()
Ответ на: комментарий от anonymous

тут другое уже спрошу, а после загрузки не знаете, есть ли способ что бы каждый раз не делать partprobe для того что бы увиделись партиции на GPT? К слову, на диске (в GPT) еще и LVM есть, но он тоже не активируется пока partprobe не сделаю

Схема такая: LUKS -> GPT -> Раздел + Раздел_PV-VG-LV

NK ★★★★★
() автор топика
Последнее исправление: NK (всего исправлений: 2)
Ответ на: комментарий от anonymous

Просто пробую пока что. А какую тогда посоветовали бы? GPT -> LUKS -> LVM? Как и в том что привел, это чисто pure FDE или нет?

NK ★★★★★
() автор топика
Последнее исправление: NK (всего исправлений: 1)
Ответ на: комментарий от NK

А какую тогда посоветовали бы? GPT -> LUKS -> LVM?

Ну да.

Как и в том что привел, это чисто pure FDE или нет?

Вообще не в курсе, что за заморочки про чистоту. Шифрование разделов всегда называлось FDE. Шифровать же диск целиком — стрелять себе в ногу. Рано или поздно тебе что-нибудь похерит суперблок LUKS, создав таблицу разделов.

anonymous
()
Ответ на: комментарий от anonymous

Что-то - это ты сам. Сожно по таким же соображениям не пользоваться газовой плитой, вдруг взорвешь и спалишь квартиру. Клоунизм. FDE - это full disk encryption, и в реальности он может быть только аппаратным. Я же считаю идиотизмом не шифровать корень.

anonymous
()
General