Für alle, die ein ähnliches Problem haben, hier meine kleine Lösung:
Wie oben beschrieben, habe ich /var /tmp /home /daten und swap auf jeweils einer eigenen verschlüsselten Partition, und musste also während des bootens fünf Passwörter eingeben...
Um das zu verhindern, generierte ich für alle Partitionen ausser /var ein keyfile:
Code:
root@wanted:~# head -c 2880 /dev/urandom | uuencode -m - | head -n 65 | tail -n 64 > /var/cryptkeys/home.key
root@wanted:~# cryptsetup luksAddKey /dev/hda7 /var/cryptkeys/home.key
Dann die /etc/crypttab angepasst:
Code:
var /dev/hda5 none luks
tmp /dev/hda6 /var/cryptkeys/tmp.key luks
home /dev/hda7 /var/cryptkeys/home.key luks
daten /dev/hda8 /var/cryptkeys/daten.key luks
swap /dev/hdb5 /var/cryptkeys/swap.key luks
anschliessend in /etc/fstab den mapper Eintrag für /var rausgenommen:
Code:
#/dev/mapper/var /var ext3 defaults 0 2
/dev/mapper/swap none swap sw 0 0
/dev/mapper/tmp /tmp ext3 defaults 0 2
/dev/mapper/home /home ext3 defaults 0 2
/dev/mapper/daten /daten ext3 defaults 0 2
dann ein skript (encrypt-luks) in /etc/init.d/ abgelegt:
Code:
#!/bin/bash
echo "Mounting encrypted partition /var..."
/sbin/cryptsetup luksOpen /dev/hda5 var
mount /dev/mapper/var /var
und einen symbolischen Link in /etc/rcS.d/ angelegt:
Code:
lrwxrwxrwx 1 root root S26encrypt-luks -> /etc/init.d/encrypt-luks
Und schon wird nach Neustart einmal für /var das Passwort abgefragt, und die anderen Partitionen werden durch Benutzung der keyfiles unter /var/cryptkeys gemountet.
Viel Spass damit wünscht
jsbx.
Lesezeichen