Início / unix / Perguntas / 777798
Accepted
SuperDialga
Asked: 2024-06-05 23:02:57 +0800 CST

A opção "key-slot" do crypttab significa que o LUKS tentará esse slot de chave "apenas" ou "primeiro"?

  • 772

Estou seguindo o guia do desenvolvedor Debian para criptografia completa de disco . Atualmente estou na Seção 4, etapa 3 – edição /etc/crypttab.

No guia, na seção 3 eles configuraram o keylot 0 para outra coisa e agora na seção 4 estão configurando o keylot 1.

No entanto, durante minha configuração, a seção 3 foi padronizada para o slot de chave 1 e, portanto, para a seção 4, precisarei usar o slot de chave 0, adicionando isto ao meu /etc/crypttab:

root_crypt UUID=... /etc/keys/root.key luks,discard,key-slot=0(o guia está key-slot=1aqui)

Eu penso. Preocupo-me com a possibilidade de estar errado, coloquei key-slot=0quando deveria ter colocado key-slot=1, então LUKS olha para o slot errado para descriptografia, falha na descriptografia devido à senha errada e não pode continuar. E como tudo está criptografado, não consigo consertar com um sistema operacional ativo.

Então, minha pergunta é: a key-slot=opção faz com que o LUKS tente apenas esse slot de chave ou tente esse slot de chave primeiro e, se falhar, tente os outros? Supondo que estou errado e coloquei key-slot=0quando deveria ter colocado key-slot=1, o LUKS tentará o slot 0, falhará, depois tentará o slot 1 e terá sucesso?

Eu li a página de manual do /etc/crypttab e não encontrei nada além de uma referência a cryptsetup -S, mas não consigo encontrar a página de manual que descreve esta opção. Só consigo encontrar uma página no cryptsetup, que não inclui a opção -S.

Muito obrigado!

boot

2 respostas

  1. Best Answer

    O manual do cryptsetup está dividido em várias páginas. A crypttabpágina do manual deve fazer referência à cryptsetup-openpágina do manual .

    --key-slot,-S <0-N>

    Esta opção seleciona um slot de chave específico para comparar a senha. Se a senha fornecida corresponder apenas a um slot de chave diferente, a operação falhará.

    Então você terá que corrigir ou remover a key-slotopção em /etc/crypttab.

    Observe que, por padrão, todos os slots são testados, portanto, a única vantagem de especificar explicitamente um slot de chave é uma melhoria na velocidade.

    Você pode recuperar a partir de um USB ativo (acho que a imagem netinst do Debian possui as ferramentas necessárias, mas não tentei isso recentemente). O arquivo que você precisa não está criptografado, pois é necessário para descriptografar o resto do sistema. Você também deve ser capaz de consertar seu sistema a partir do initramfs (você não recebe um prompt do shell?), executando cryptsetup, mounte qualquer outra etapa necessária manualmente até obter acesso ao sistema de arquivos raiz.

    • 4

  2. A key-slot=opção faz com que o LUKS tente apenas esse slot de chave

    Sim, geralmente é esse o caso.

    É equivalente à --key-slotopção man cryptsetup-open:

    --key-slot, -S <0-N>
    Esta opção seleciona um slot de chave específico para comparar a senha. Se a senha fornecida corresponder apenas a um slot de chave diferente, a operação falhará.

    Isso pretende ser uma otimização de desempenho. Ao usar muitos slots de chave, leva muito tempo para verificar cada um deles.

    Além disso, o LUKS 2 também permite definir prioridades de keylot (normal, preferir, ignorar) via cryptsetup config --priority. Isso então se comporta mais como você descreveu, ele tentará primeiro os slots de chave preferidos e depois os normais.

    E como tudo está criptografado, não consigo consertar com um sistema operacional ativo.

    Por que você não descriptografa no ambiente Live/Rescue?

    Alternativamente, você pode adicionar/alterar a senha do slot de chave esperado, para que você não precise montar/chroot o sistema descriptografado.

    • 3

relate perguntas