Dotaz: Dotaz na passphrase v LUKS

Dobry den. Cele odpoledne tu resim jeden problem s luksem. Pri startu pocitace si luks nacita klice pro rozsifrovani disku z SD karty vlozene do meho notebooku. To mi funguje bez problemu. Problem je ale v tom, ze kdyz karta s klicema neni do notebooku vlozena, cely boot skonci s chybou a zadny z sifrovanych oddilu neni pripojen. A zde mi jde o to, aby boot pri vytazene karte s chybou neskoncil, ale aby se cryptsetup dotazal na passphrase. Premyslel jsem jak to zajistit a hledal, jestli by neslo pridat pouze nejaky parametr do /etc/crypttab.

Tato volba skonci pri nevlozene karte chybou:

dm_srv /dev/lvmvolume/esrv /etc/crypt/esrv.key

Tato volba se me vzdy bez vyjimky na passphrase dotaze:

dm_srv /dev/lvmvolume/esrv ASK

A volba, ktera by se nabizela nefunguje:

dm_srv /dev/lvmvolume/esrv ASK,/etc/crypt/esrv/key

Existuje nejaka moznost jak tohle zaridit?

V nejhorším je možné napsat si na to vlastní skript nebo upravit /usr/share/initramfs-tools/scripts/local-top/cryptroot (na Debianu) a znovu sestavit initrd. Skript zkontroluje, jestli je karta, a podle toho spustí cryptsetup buď tak, aby načetl klíč z karty, nebo tak, aby se zeptal.

Tak jsem konecne zjistil jak se googlu spravne zeptat a nasel jsem toto:
prvni
druhy

Problem je, ze tyto navody jsou na Debian a uz jsou velmi stare. Snazil jsem se to podobne rozbehnout na svem Archu, ale marne.

Pokud do sveho /etc/crypttab pridam:

dm_srv /dev/lvmvolume/esrv /etc/crypt/esrv.key luks,keyscript=/usr/local/sbin/crypto-usb-key.sh

Tak mi to akorat hazi chybu, ze dany parametr (asi keyscript) u cryptsetupu neexistuje.
Nejake napady?

Opravdu nikdo podobny problem neresil?

A jak jsi to nastavil, aby to chtělo klíč z externího zařízení? Mi by se docela hodilo, kdyby to klíč načítalo z flašky.

dm_home /dev/lvmvolume/ehome    /etc/crypt/ehome.key
dm_tmp  /dev/lvmvolume/etmp     /etc/crypt/etmp.key
dm_swap /dev/lvmvolume/eswap    /etc/crypt/eswap.key

KERNEL!="mmcblk0p1", GOTO="sd_cards_auto_mount_end"

# Global mount options
ACTION=="add", ENV{mount_options}="relatime"

# Filesystem specific options
ACTION=="add", IMPORT{program}="/sbin/blkid -o udev -p %N"
ACTION=="add", ENV{ID_FS_TYPE}=="vfat|ntfs", ENV{mount_options}="$env{mount_options},utf8,gid=100,umask=002"

ACTION=="add", RUN+="/bin/mount -o $env{mount_options} /dev/%k /etc/crypt"
ACTION=="remove", RUN+="/bin/umount -l /etc/crypt"
LABEL="sd_cards_auto_mount_end"

Ahoj, neco podobneho jsem resil, ale na CentOS. Je potreba upravit skript pro initrd a pak ho updatnout.

cryptroot-ask.sh - ted si nejsem jisty jestli v /usr/share/dracut/modules.d/90crypt nebo 50plymouth

update initrd pomoci /usr/libexec/plymouth/plymouth-update-initrd

info "luksOpen $device $luksname"
# flock against other interactive activities
{ flock -s 9;

        key=/dev/disk/by-id/usb-Verbatim_Store_n_Go_Drive_AAYM4BXOX2JFNIFV-0\:0

        if [ -e $key ]; then
                echo "unlocking..."
                ask=0
                dd if=$key bs=1 count=256 | cryptsetup luksOpen $device $luksname --key-file=-
        else
                echo "not unlocking..."
                #echo -n "$device ($luksname) is password protected"
                #cryptsetup luksOpen -T1 $1 $luksname
                /bin/plymouth ask-for-password --prompt "password:" --command="/sbin/cryptsetup luksOpen -T1 $device $luksname"
        fi

} 9>/.console.lock

Na zacatek skriptu je jeste potreba dat sleep na cca 5 vterin, aby system pockal, nez se flashka nacte. Na flashce samozrejme neni zadny filesystem, ale nahodna cislicka.