Ядро & Оборудование
   176

[Solved] Пароль для LUKS и /boot на флешке

Доброго времени суток!
Есть задумка у меня давняя — при установке системы создать одинокий luks, и напустить на него lvm. Проблема в том, что /boot должен быть не зашифрован, в связи с чем решено было его вместе с EFI вынести на флешку в один раздел(я немного сглупил, получилось, что /boot в разделе efi на fat). В итоге имеем флешку. При загрузке втыкаем — запускается груб. В связи с чем есть несколько вопросов:
  • Пароль для раздела спрашивается 2 раза. Сначала при загрузке grub, второй раз — после инициализации ядра. Можно ли как-то это побороть? Пока думал над тем, чтоб создать файл-пароль и кинуть на ту же флешку, но не знаю, как реализовать
  • Можно ли будет после загрузки флешку достать? Система, на сколько я понимаю, обращается к /boot только при обновлении ядра, сборке-пересборке и сжатии образов initcpio. Значит ли это что флешку можно при обычной работе(интернет, программирование, фильмы, диски) извлечь без вреда для системы?
Заранее спасибо!

5 комментариев

avatar
Пока думал над тем, чтоб создать файл-пароль и кинуть на ту же флешку, но не знаю, как реализовать
github.com/aluzzardi/pam_usb
yaourt -S pam_usb

Для настройки USB-ключа необходимо:

1. Выбрать носитель и задать ему имя (напр., «FLASHKEY»)

sudo pamusb-conf --add-device FLASHKEY

2. Добавить пользователя зарегистрированного в системе, который будет авторизовываться с помощью флешки (напр., «username»)

sudo pamusb-conf --add-user username

3. Проверить корректность установок

sudo pamusb-check username

4. Включить pam_usb в процесс авторизации, добавив в начало /etc/pam.d/system-auth строку

auth	sufficient	pam_usb.so

Последний шаг указывает системе, что вставленной флешки достаточно для авторизации. Если ее вынуть, система снова станет запрашивать пароль пользователя.
Последний раз редактировалось
0
avatar
Большое спасибо, очень классная штука. Даже не предполагал, что такое бывает:)
На сколько я понимаю, это не совсем подходит для расшифровки раздела при загрузке системы. pam_usb.so в корне фс, который тоже является частью luks. Но фича реально годная — обязательно воткну на флешку :)))
0
avatar
Мало ли кому еще будет интересно(на всякий случай):
/boot используется только при загрузке grub, linux и манипуляциях с его содержимым из запущенной системы. На серверах рекомендуется отмонтировать этот раздел после загрузки. Но очень важно, чтобы /boot был примонтирован при обновлении системы, генерации initcpio, обновлении конфига grub или установке пакета, имеющего отношение к загрузке системы или генерации конфигов загрузчика.
+1
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.