我使用Mandos来自动打开加密的根设备。我想设置一个加密的btrfs raid 1(sda1和sdb1:LUKS)。第一个设备正确解密,但第二个设备将被打开。有没有办法做到这一点?
答案 0 :(得分:1)
从Debian Stretch开始,它才有效(tm)。这两个设备都应该在/ etc / crypttab中列出,并且应该设置btrfs raid1。然后安装mandos。确认正在使用Debian Stretch 9.5。
答案 1 :(得分:0)
解决方案相对简单:
不要将磁盘添加到/ etc / crypttab,而是将它们直接添加到/etc/initramfs-tools/conf.d/cryptroot,不要忘记keyscript部分(keyscript = / lib / mandos / plugin-runner)
/etc/initramfs-tools/conf.d/cryptroot:
target=sda2_crypt,source=UUID=0f47884b-fb02-478e-b4dd-c594cf1cbbf1,key=none,rootdev,discard,keyscript=/lib/mandos/plugin-runner
target=sdb2_crypt,source=UUID=65f16e28-5b74-4b1f-9f81-01729244ac2c,key=none,rootdev,discard,keyscript=/lib/mandos/plugin-runner
为确保将完整的cryptsetup堆栈正确编译到initramfs中,请将虚拟设备添加到/ etc / crypttab。注意添加noauto,否则它会尝试在启动时解锁设备并且会失败。
的/ etc / crypttab中:
dummy_device UUID=087963da-63bb-439b-bb5a-15e712d02a29 none noauto,luks,discard
答案 2 :(得分:0)
我建议您在根文件系统上(我建议在/etc/keys中)有一个包含任何其他磁盘密码的文件,并在/etc/crypttab的第三个字段中输入该文件名