Je vais installer Linux à la manière de LUKS/LVM, afin d’avoir un disque chiffré.
De plus, j'aimerais placer l'en-tête et la phrase secrète dans une clé USB.
Ainsi, au lieu de saisir la phrase secrète, je ne branche que la clé électronique USB.
Est-ce possible et comment?
J'écris maintenant de la machine qui fonctionne exactement de cette façon.
/boot
sur le dongle.Editez /etc/crypttab
, ajoutez cette ligne
sda2_crypt UUID=14-88 /dev/disk/by-uuid/88-14:/rootfs.key luks,keyscript=/lib/cryptsetup/scripts/passdev
où sda2_crypt
est un nom arbitraire, le premier UUID correspond à la partition racine chiffrée, le second à la partition de clé électronique et rootfs.key
est le nom du fichier de clé.
/etc/fstab
en conséquence./boot
et faites update-initramfs
Cela devrait suffire. Différentes instructions vous suggèrent d'ajouter des arguments de démarrage du noyau, mais dans mon cas, cela fonctionnait sans. Si vous souhaitez utiliser un mot de passe à la place du fichier clé, éditez simplement /etc/crypttab
et faites update-initramfs
.