[РЕШЕНО] Простое шифрование dm-crypt при установке

xxeddus	# 3 года, 9 месяцев назад (отредактировано 3 года, 9 месяцев назад)
Темы: 3 Сообщения: 96 Участник с: 21 ноября 2018	Приветствую сообщество. Пробую зашифровать единственный диск в ноуте полностью (кроме /boot) при установке. Первый раз потерпел неудачу - не мог попасть даже в меню grub. Хочу поделиться с вами своими соображениями и попросить совета. Установка велась по этой статье - https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Simple_partition_layout_with_LUKS (раздел "Simple partition layout with LUKS"). Я выполнил: перезаписал диск нулями, создал gpt разметку, создал 2 раздела - sda1 на 512М, sda2 на все остальное (156Г); подготовил корень командами: `# cryptsetup -y -v luksFormat --type luks2 /dev/sda2 # cryptsetup open /dev/sda2 cryptroot # mkfs.ext4 /dev/mapper/cryptroot # mount /dev/mapper/cryptroot /mnt` проверил работу шифрования командами: `# umount /mnt # cryptsetup close cryptroot # cryptsetup open /dev/sda2 cryptroot # mount /dev/mapper/cryptroot /mnt` отформатировал sda1 в fat32, смонтировал sda1 в /mnt/boot/efi (у меня efi м/п), провел обычную установку (pacstrap, настройка сети и времени, настройка пользователя и т.д.), в /etc/mkinitcpio.conf в раздел HOOKS в раскомментированную строку добавил недостающие хуки keymap, encrypt; сконфигурировал mkinitcpiо с ванильным ядром, установил grub (efibootmgr и grub уже имелись), добавил в конфиг grub вместо quiet: `cryptdevice=UUID=device-UUID:cryptroot root=/dev/mapper/cryptroot` где device-UUID - UUID моего /dev/sda2 раздела. создал конфиг grub, отмонтировал оба раздела и закрыл luks раздел. Нигде ошибок при подготовке системы не возникало. После ребута кроме меню выбора носителя для загрузки ничего нет. В списке диска с системой нет. P.S. На ноуте уже стоял арч до этого, но без шифрования.

# 3 года, 9 месяцев назад (отредактировано 3 года, 9 месяцев назад)

Сообщения: 96

Участник с: 21 ноября 2018

Приветствую сообщество. Пробую зашифровать единственный диск в ноуте полностью (кроме /boot) при установке. Первый раз потерпел неудачу - не мог попасть даже в меню grub. Хочу поделиться с вами своими соображениями и попросить совета.
Установка велась по этой статье - https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Simple_partition_layout_with_LUKS (раздел "Simple partition layout with LUKS"). Я выполнил:

перезаписал диск нулями,
создал gpt разметку,
создал 2 раздела - sda1 на 512М, sda2 на все остальное (156Г);
подготовил корень командами:

# cryptsetup -y -v luksFormat --type luks2 /dev/sda2
# cryptsetup open /dev/sda2 cryptroot
# mkfs.ext4 /dev/mapper/cryptroot
# mount /dev/mapper/cryptroot /mnt

проверил работу шифрования командами:

# umount /mnt
# cryptsetup close cryptroot
# cryptsetup open /dev/sda2 cryptroot
# mount /dev/mapper/cryptroot /mnt

отформатировал sda1 в fat32,
смонтировал sda1 в /mnt/boot/efi (у меня efi м/п),
провел обычную установку (pacstrap, настройка сети и времени, настройка пользователя и т.д.),
в /etc/mkinitcpio.conf в раздел HOOKS в раскомментированную строку добавил недостающие хуки keymap, encrypt;
сконфигурировал mkinitcpiо с ванильным ядром,
установил grub (efibootmgr и grub уже имелись),
добавил в конфиг grub вместо quiet:

cryptdevice=UUID=device-UUID:cryptroot root=/dev/mapper/cryptroot

создал конфиг grub,
отмонтировал оба раздела и закрыл luks раздел.

Нигде ошибок при подготовке системы не возникало. После ребута кроме меню выбора носителя для загрузки ничего нет. В списке диска с системой нет.

P.S. На ноуте уже стоял арч до этого, но без шифрования.

xxeddus	# 3 года, 9 месяцев назад
Темы: 3 Сообщения: 96 Участник с: 21 ноября 2018	Кажется, я понял, в чем была ошибка. Warning: GRUB does not support LUKS2 headers. Make sure you do not specify luks2 for the type parameter when creating the encrypted partition using cryptsetup luksFormat. Хотя в статье о шифровании приводится команда именно с luks2, а что это не будет работать с grub никто почему-то не упоминает. В итоге с самого начала все было неверно выполнено.

xxeddus

# 3 года, 9 месяцев назад

Темы: 3

Сообщения: 96

Участник с: 21 ноября 2018

Кажется, я понял, в чем была ошибка.

Warning: GRUB does not support LUKS2 headers. Make sure you do not specify luks2 for the type parameter when creating the encrypted partition using cryptsetup luksFormat.

Хотя в статье о шифровании приводится команда именно с luks2, а что это не будет работать с grub никто почему-то не упоминает. В итоге с самого начала все было неверно выполнено.

xxeddus	# 3 года, 9 месяцев назад
Темы: 3 Сообщения: 96 Участник с: 21 ноября 2018	Переустановил с типом шифрования luks, которое дефолтное. Все расшифровывается и загружается. Однако пароль запрашивается дважды. Первый раз до меню grub, второй раз после. В остальном система работает.

xxeddus	# 3 года, 9 месяцев назад
Темы: 3 Сообщения: 96 Участник с: 21 ноября 2018	А проблема в двойным вводом пароля в моем случае решается хранением в initramfs ключа от зашифрованного раздела.