问题[luks](ubuntu)

内核版本更新导致自动解锁中断。我已将 Ubuntu 22.04 机器配置为每周自动更新，无需人工干预即可升级。在较新的内核更新中，例如：

│ Newer kernel available
│ 
│ The currently running kernel version is 5.15.0-118-generic which is not the expected kernel version 5.15.0-119-generic.
│                                                                                                                                                        
│ Restarting the system to load the new kernel will not be handled automatically, so you should consider rebooting.

自动解锁不起作用。问题似乎是内核更新强制重新启动以应用更新，但如果不手动输入磁盘加密密码则无法完成。重新启动后，我必须先运行以下命令重置磁盘加密： sudo clevis luks unbind -d <partition> -s <SLOT_NUMBER>然后运行以下命令重置加密设置： clevis luks bind -d <partition> tpm2 { "pcr_bank":"sha256", "pcr_ids": "<pcr_ids>" }'和。在重新启动之前update-initramfs -u -k 'all'是否使用生成启动映像似乎并不重要。如果我运行，我可以看到输出是正确的。搜索此问题没有找到任何结果。是否有任何配置是我遗漏的或我可以添加的任何配置？update-initramfsclevis luks list -d <partition>

1. 在 Ubuntu 22.04 上设置磁盘加密并自动解锁。
2. 运行sudo apt update并sudo apt upgrade触发内核版本更新。
3. 重启
4. 在启动盘上请求加密密码。

安装的软件包：

clevis
clevis-luks
clevis-initramfs
clevis-systemd
clevis-tpm

我是使用 LUKS 的新手。成功安装后，/dev/sda我不明白/dev/sda1, /dev/sda2硬盘上的分区代表什么。我希望看到唯一的一个加密分区。

解密前，/dev/sda结构如下：

❯ lsblk
NAME                   MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                      8:0    0   1.8T  0 disk
├─sda1                   8:1    0 168.8G  0 part
└─sda2                   8:2    0 717.4G  0 part

解密后：

❯ sudo cryptsetup open /dev/sda silverbox
❯ lsblk
NAME                   MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                      8:0    0   1.8T  0 disk
├─sda1                   8:1    0 168.8G  0 part
├─sda2                   8:2    0 717.4G  0 part
└─silverbox            253:3    0   1.8T  0 crypt

❯ lsblk --fs
NAME                   FSTYPE      LABEL UUID                                   FSAVAIL FSUSE% MOUNTPOINT
sda                    crypto_LUKS       42a9febd-2d7b-4c12-b92a-4e1ec6a1b5a5
├─sda1
├─sda2
└─silverbox            ext4              b692ba9b-ad36-4689-9b17-5b03af684130      1.6T     7% /media/vol/b692ba9b-ad36-4689-9b17-5b03af684130

silverbox是一个1.8TB的专用数据分区。168.8G和717,4G分区的目的是什么？

为什么它们的总大小不是 1.8TB？

我有一个带有 20 多个加密分区的外部硬盘驱动器。在每次启动时，此弹出窗口

淹没我的屏幕；每个分区一个。我的机器资源有限，所以这变得很麻烦。我知道这一定是一个常见问题，但我找不到描述其解决方案的帖子。我只想禁用弹出窗口。我不想永远记住密码。分区在需要时通过脚本解密，并在作业完成时加密。

当我在 LUKS 解密屏幕上时，我的键盘布局正在从默认切换。我试过用最明显的选择打字，但由于我的键盘输入是隐藏的，我无法知道我在哪一个。

我已经看到有关如何为 LUKS 设置我的键盘布局的其他问题，这将是很棒的......如果我可以登录的话。

是否有任何方法可以从 LUKS 页面访问任何其他屏幕，以便我可以获得有关键盘输入的反馈？

我有一个全新的 Kubuntu 20.10 安装。在安装程序中，我选择了全盘加密选项。保存我的系统的分区（安装在 的分区/）现在已加密。

但/boot仍然是未加密的。这使我受到邪恶女仆的攻击。

GRUB支持 LUKS 2已经有一段时间了。

/boot我发现的最新LUKS2的Ubuntu（包括

我已经加密了系统分区，现在我只需要加密/boot。

我可以遵循哪些步骤？

我很愚蠢地使用命令 - 使用 live ubuntu 命令加密我的 SSD。

sudo cryptsetup luksFormat /dev/nmp1n1

然后系统当然不会自行启动。我真的不明白一切有多糟糕以及是否有可能恢复它。我找到了一个可以删除加密的命令。

cryptsetup-reencrypt --decrypt /dev/nvmp1n1

但是我在另一个磁盘上的另一个不必要的分区上对其进行了测试。我加密和解密它。但是这个部分现在被卸载了。我不能支持它。我担心带有系统数据的整个 SSD 磁盘将无法简单地从 Live SD 再次解密并像往常一样使用它。我对吗？或者解密我的驱动器是否安全？

我做了一些愚蠢的事情，破坏了我的主要 linux 安装，并且正在处理磁盘以备份所有内容。在此过程中，我遇到了不知道如何处理的 dd 和/或 LUKS 问题。dd 似乎没有创建一个真正的克隆！

原盘没问题，只是安装坏了。我的数据仍然完好无损。我将它放在一个外部 USB 机箱中，并将它连接到我的笔记本电脑（与主 PC 完全相同的 Ubuntu 版本）。

fdisk 显示了 3 个分区的标准 LUKS 加密星座（所有 ext4）：

/dev/sda1 is boot, 

/dev/sda2 is an extended partition consuming the rest of the disk

/dev/sda5 is the same size as /dev/sda2, but for LUKS.  

如果我运行“cryptsetup luksOpen /dev/sdb5”然后挂载，我可以访问磁盘的内容就好了。

然后我把那个磁盘和一个我漂浮的备用磁盘插入到我的脑叶切开主 PC 中，并从一个实时的 ubuntu 棒启动。两个磁盘都被识别，我跑了：

"dd if=/dev/sda of=/dev/sdb bs=4M status=progress" 

并等了3个小时。它毫无怨言地跑了。

我怀疑这很重要，但源磁盘是 1.8 TB SSD，目标是 3 TB HDD。

我将 3 TB 磁盘插入外部机箱并将其连接到我的笔记本电脑。

现在，fdisk 只显示 /dev/sdb1 和 /dev/sdb2。这些看起来是正确的，但是没有 /dev/sdb5 我无法挂载 LUKS 加密卷，也无法访问我的数据。

我的理解是 dd 复制每个字节，并且没有遗漏任何隐藏的元数据，但我不是现代磁盘控制器的专家。我错过了什么（/dev/sdb5 除外）吗？

我需要在笔记本电脑上做些什么吗？如果它是原始的真正字节克隆，则密码应该相同。我认为磁盘序列号没有任何密钥，因为这让我觉得在基于软件的加密方案中没有人想要这种东西。

任何见解将不胜感激！在确定可以访问备份磁盘上的数据之前，我会犹豫是否要做任何事情。

5 TB 磁盘的 gdisk 输出：GPT fdisk (gdisk) 版本 1.0.1

逻辑分区的 EBR 签名无效；读取 0x0000，但应该是 0xAA55 读取逻辑分区时出错！列表可能会被截断！分区表扫描： MBR：仅 MBR BSD：不存在 APM：不存在 GPT：不存在

发现无效的 GPT 和有效的 MBR；在内存中将 MBR 转换为 GPT 格式。

磁盘 /dev/sdb：1220942646 个扇区，4.5 TiB 逻辑扇区大小：4096 字节磁盘标识符（GUID）：已编辑分区表最多可容纳 128 个条目第一个可用扇区为 6，最后一个可用扇区为 1220942640 分区将在 256 个扇区上对齐边界总可用空间为 1220444971 个扇区 (4.5 TiB)

编号 开始（扇区） 结束（扇区） 大小 代码 名称 1 2048 499711 1.9 GiB 8300 Linux 文件系统

gdisk output for 5 TB disk:
GPT fdisk (gdisk) version 1.0.1

EBR signature for logical partition invalid; read 0x0000, but should be 0xAA55
Error reading logical partitions! List may be truncated!
Partition table scan:
  MBR: MBR only
  BSD: not present
  APM: not present
  GPT: not present


***************************************************************
Found invalid GPT and valid MBR; converting MBR to GPT format
in memory. 
***************************************************************

Disk /dev/sdb: 1220942646 sectors, 4.5 TiB
Logical sector size: 4096 bytes
Disk identifier (GUID): REDACTED
Partition table holds up to 128 entries
First usable sector is 6, last usable sector is 1220942640
Partitions will be aligned on 256-sector boundaries
Total free space is 1220444971 sectors (4.5 TiB)

Number  Start (sector)    End (sector)  Size       Code  Name
   1            2048          499711   1.9 GiB     8300  Linux filesystem

干杯，肯

我在 20.04 安装的存储布局部分。我想使用 cryptsetup 安装现有的 luks 设备，但在自定义存储布局 UI 中看不到该选项。有没有办法让我获得一个外壳，这样我就可以手动进行磁盘操作和安装，然后只使用安装程序来选择我想要使用的设备？

我想设置一个 ubuntu 服务器（20.04.1）并为服务器加密一些硬盘驱动器。那些硬盘不是操作系统安装的驱动器。

假设由于任何原因安装引导硬盘会崩溃，我需要更换它。

完全全新安装的 ubuntu 可以读取加密的硬盘（当然提供 pw）吗？

这是否取决于加密类型（我听说那里有几个选项，如 eCryptfs、fscrypt 或 LUKS）？

这是否依赖于操作系统版本（ubuntu 服务器的后续版本）？

由于将来我将不得不处理 Ubuntu 客户端的大规模部署，因此我一直在寻找实现无人值守设置的方法。我目前的想法是使用 kickstart 或https://ubuntu.com/server/docs/install/autoinstall之类的东西，并在初始部署后使用 ansible。

一个关键要求是在设置期间加密根分区。

由于自动安装似乎是 20.04 的新标准，我在参考资料中没有找到任何关于 LUKS 的内容，所以我想问是否有人知道 LUKS 是否可以与自动安装一起使用？

如果不是：kickstart 会是正确的方法吗？