Administrace komentářů

S heslem není žádný velký problém. LUKS kontejner má (jestli se nepletu) nějakých 8 slotů a v každém může být heslo nebo klíč. Aby se heslo zadávalo jenom jednou, stačí využít 2 sloty a princip je tento:

1. Vytvoří se dva sloty, jeden s heslem (při vytváření LUKS oddílu), druhý s klíčem ze souboru (pomocí luksAddKey).
2. Soubor s klíčem se uloží někam do adresáře /root nebo zkrátka tam, kam běžní uživatelé příliš nemůžou.
3. Do /etc/crypttab se přidá záznam, který odemyká příslušný LUKS oddíl pomocí toho souboru s klíčem, tedy bez nutnosti interakce s uživatelem.
4. Soubor s klíčem se přidá do initcpio (a pochopitelně skončí ve stejném adresáři, v jakém je na běžném filesystému).
5. Pak stačí zkontrolovat, jestli soubor s klíčem i /etc/crypttab jsou v initcpio archivu a jestli náhodou initcpio archiv není čitelný pro někoho jiného než roota.
6. A nezapomenout přidat sd-encrypt do pole HOOKS v /etc/mkinitcpio.conf; typy a pořadí hooků jsou popsané zde. Právě tento hook zajišťuje přidání programu cryptsetup a souboru /etc/crypttab. Soubor s klíčem je třeba přidat ručně v poli FILES.

Bootování funguje takto:

1. GRUB se zeptá uživatele na heslo.
2. GRUB z šifrovaného hlavního oddílu rozluští master klíč, pak dešifruje a načte kernel a jeho initcpio.
3. Kernel začne bootovat se svým initcpio filesystémem v RAM, kde najde /etc/crypttab a také soubor s klíčem.
4. Během initcpio fáze se hook sd-encrypt postará — na základě souboru s klíčem a /etc/crypttab, které jsou v initcpio dostupné — o regulérní otevření LUKS oddílu kernelem, aby se objevil v /dev/mapper/<zařyzeňy>.
5. Kernel (resp. systemd v tom initramdisku) je pak schopen podle UUID filesystému (které je už známé, protože LUKS kontejner je otevřený a filesystém v něm je vidět) namountovat kořenový filesystém, přemountovat z initcpio na běžný filesystém a je vyhráno.

Není to žádná věda; jen je třeba mít jasno v tom, co se tam děje a kde a proč.