Am Dienstag, den 06.01.2015, 21:35 +0100 schrieb Gerd Göhler:
Hallo,
Hallo,
vielleicht interessiert meine derzeitige Lösung jemand
bin gerade am testen neuer Hardware und es sollte gleich ein Debian-jessie werden.
Ziel ist es beim Booten des Rechners die Festplatte (dm-crypt verschlüsselt) wahlweise entweder mit einen KEY z.B auf USB-Stick oder der Eingabe eines Passworts zu entsperren.
Unter Debian-whezzy geht das recht gut durch Eintragen der verschiedenen Möglichkeiten in der /etc/crypttab.
Neue Debian-jessie Standardinstallation --> da zickt nun aber der systemd rum, weil das Device mehrfach vorhanden ist.
z.b.
md0_crypt UUID... (für KEY) .. /dev/disk/by-label/.. luks,keyscript=/... md0_crypt UUID... (für Password) .. none luks md1_crypt /dev/md1 md0_crypt .. (für SWAP) .. ,keyscript=/...,swap md2_crypt UUID... (für KEY) .. /dev/disk/by-label/.. luks,keyscript=/... md2_crypt UUID... (für Password) .. none luks
In /etc/crypttab nur die Einträge für password belassen
md0_crypt UUID... (für Password) .. none luks md1_crypt /dev/md1 md0_crypt .. (für SWAP) .. ,keyscript=/...,swap md2_crypt UUID... (für Password) .. none luks
Weiter Möglichkeiten eintragen in /etc/initramfs-tools/conf.d/cryptroot und dafür sorgen das benötigte Scripte in der initrd landen.
In cryptroot alles notwendige eintragen, wird in der Reihenfolge der Einträge abgearbeitet.
-- cryptroot -- target=md0_crypt,source=UUID=....,key=/dev/disk/by-label/...,rootdev,tries=1,keyscript=/.... target=md0_crypt,source=UUID=....,key=none,rootdev,tries=0 target=md1_crypt,source=/dev/md1,key=md0_crypt,cipher=aes-xts-plain64,size=256,hash=sha1,keyscript=/... target=md2_crypt,source=UUID=....,key=/dev/disk/by-label/....,rootdev,tries=1,keyscript=/... target=md2_crypt,source=UUID=....,key=/media/KEY/...,rootdev,tries=1,keyscript=/... target=md2_crypt,source=UUID=....,key=none,rootdev,tries=0
------
Scripte nehme ich aus /lib/cryptsetup/scripts/.. und hab dafür unter /etc/initramfs-tools/hooks/ ein Script angelegt welches dies erledigt.
update-initramfs -u
und neu booten.
Tipp: sichere vorher eine funktionierende initrd falls was schief läuft.
VG Gerd