여기에 내가 가진 구성 :-2 개의 하드 드라이브-첫 번째 하드 드라이브는 LUKS 및 LVM을 사용하여 암호화됩니다. 볼륨 그룹에 두 번째 하드 드라이브를 암호화하고 싶습니다. 성공적으로 설치하고 암호화했습니다. 그러나 부팅 할 때 두 하드 드라이브를 모두 해독하려면 암호를 2 개 입력해야합니다.

하나만 사용하는 방법이 없습니까?

마침내 암호를 하나만 입력하고 모든 실제 디스크를 암호화하는 트릭을 찾습니다.

암호를 사용하여 첫 번째 암호를 암호화하고 첫 번째 하드 드라이브에 저장 한 키 파일 (/ root / mykeyfile)을 사용하여 두 번째 암호를 암호화합니다.

그리고 / etc / crypttab 파일에 올바른 줄을 사용하면 트릭을 수행합니다.

/ etc / crypttab 업데이트

sda5_crypt UUID = fb07f1e8-a569-4db9-9fd7-fc1994e093b5 없음 luks

sdb1_crypt UUID = 4c0687f0-d7af-4f2e-9c57-5ca8e909d492 / root / mykeyfile luks

우분투에서는 루트에서 파생 된 키를 다른 파일 시스템의 추가 키로 사용할 수 있습니다. 이것은 파일 시스템 자체에서 다른 드라이브의 키를 유지하는 이점이 있습니다.

이 작업을 수행하기 전에 먼저 / tmp가 램에만 마운트되어 있는지 확인하십시오! 이 변경에 대한 단일 사용자 모드를 제안합니다.

mount -t ramfs none /tmp

그런 다음 파생 된 키를 내보낼 수 있습니다.

# replace vda5_crypt with the cryptsetup name of your root luks
# have a look in /dev/mapper or 'pvdisplay' to find it...
/lib/cryptsetup/scripts/decrypt_derived vda5_crypt > /tmp/key

그런 다음 다른 장치에 추가하십시오.

# use your own disks here instead of sdb1 sdc1 sdd1 etc
cryptsetup luksAddKey /dev/sdb1 /tmp/key
cryptsetup luksAddKey /dev/sdc1 /tmp/key
cryptsetup luksAddKey /dev/sdd1 /tmp/key
rm /tmp/key

루트가 잠금 해제되면 우분투 초기화 스크립트가 파생 키를 사용하여 나머지 블록 장치를 잠금 해제하고 / dev / mapper에서 유사하게 사용할 수있게합니다. / etc / crypttab 항목이 필요한지 잘 모르겠습니다. 먼저 입력하지 말고 나타나지 않으면 키없이 crypttab에 입력하면 잠금이 해제됩니다.

(나는 이것을 테스트하지 않았습니다.)

이론적으로 사용자 정의 부팅 스크립트에서 임시 환경 변수를 설정 한 다음 암호 해독 프로세스의 초기화 스크립트에서 참조 할 수 있습니다. 나는 실제로 몇 년 전에 이것을했습니다.

다른 옵션은 하드 드라이브의 기존 초기화 스크립트를 도끼로 만들고 비밀번호를 한 번 입력 한 다음 두 개의 암호 해독 프로세스를 진행하는 사용자 지정 스크립트를 작성하는 것입니다.

대안으로 LVM 볼륨을 두 번째 드라이브로 확장 할 수 있습니다. 올바르게 기억한다면 암호화가 계속되어야합니다.

아니요, 즉시 사용할 수있는 방법이 없습니다.