web-dev-qa-db-fra.com

Cryptage LUKS, en-tête sur une clé USB?

Je vais installer Linux à la manière de LUKS/LVM, afin d’avoir un disque chiffré.

De plus, j'aimerais placer l'en-tête et la phrase secrète dans une clé USB.

Ainsi, au lieu de saisir la phrase secrète, je ne branche que la clé électronique USB.

Est-ce possible et comment?

4
3pic

J'écris maintenant de la machine qui fonctionne exactement de cette façon.

  1. Tout d'abord, vous devrez placer le dossier entier /boot sur le dongle.
  2. Cryptez le disque avec le fichier de clé et placez également le fichier de clé dans le dongle de démarrage.
  3. Editez /etc/crypttab, ajoutez cette ligne

    sda2_crypt UUID=14-88 /dev/disk/by-uuid/88-14:/rootfs.key     luks,keyscript=/lib/cryptsetup/scripts/passdev
    

sda2_crypt est un nom arbitraire, le premier UUID correspond à la partition racine chiffrée, le second à la partition de clé électronique et rootfs.key est le nom du fichier de clé.

  1. Puis mettez à jour votre /etc/fstab en conséquence.
  2. Montez le dongle comme /boot et faites update-initramfs

Cela devrait suffire. Différentes instructions vous suggèrent d'ajouter des arguments de démarrage du noyau, mais dans mon cas, cela fonctionnait sans. Si vous souhaitez utiliser un mot de passe à la place du fichier clé, éditez simplement /etc/crypttab et faites update-initramfs.

3
Barafu Albino