问题[veracrypt](ubuntu)

我的笔记本电脑上有带有全盘加密的 Xubuntu。一个硬盘。

几天前我在上面安装了 Veracrypt，但希望它自动加载我创建的加密文件容器。我在网上搜索，发现一个网站是这样说的：

“您只需要在您的 crypttab 文件中添加一行（您希望自动挂载的每个卷）。一般格式是：

volume_name /path/to/volume 密码 tcrypt-veracrypt,tcrypt-keyfile=/path/to/keyfile

1. 卷名是你自己编的。（它被添加到 /dev/mapper/ 中——你马上就会用到这个事实。）
2. 卷的路径可以是文件 (/home/user/encrypted.volume) 或块设备 (/dev/sdx1) 或 UUID。
3. 密码可以设置为无——这意味着用户需要在启动时提供它（只需一次，仍然比每次登录都要好）。或者，它可以是仅包含密码的文件的路径。如果您不使用密码并且只使用一个或多个密钥文件 – 请将密码设置为 /dev/null
4. 由于这是您自动挂载的 VeraCrypt 卷，因此您需要使用 tcrypt-veracrypt 选项将其标记为此类。如果您使用的是密钥文件，那么您需要指定它的位置 tcrypt-keyfile=/path/to/keyfile（如果您不使用密钥文件，请确保不要将选项复制粘贴到...并删除不必要的逗号也是！）

此时，加密卷将在启动时自动解密。工作完成了一半。现在你只需要自动挂载它。

您将更新您的 fstab: /etc/fstab，每个卷只有一行。一般格式如下所示：

/dev/mapper/volume_name /mnt/point auto nosuid,nodev,nofail 0 0

1. 还记得你之前选择的 volume_name 吗？这是另一个使用它的地方。
2. 挂载点可以在您想要的任何位置。
3. 您可以指定文件系统类型或将其保留为自动。
4. 此处显示的其余选项只是确保其他人可以读取和写入已安装的卷。”

这一切似乎都很简单。我在每个文件的底部添加了一行。可以肯定的是，我将挂载点设为主目录。然后我重新启动。

它会在每次重新启动时询问我完整的磁盘加密密码。那里没问题。输入它并继续启动。

到达它显示的行： OK Started LSB : Apparmor 初始化，然后停止： A start job is running for dev-map...mycontainer.device (分钟秒/无限制)

它显然永远挂在那里。我猜它正在尝试自动加载 mycontainer，但它不要求输入密码。它只是随着计时器的计时而挂起。

我已经尝试并尝试访问 fstab 和 crypttab 文件，但由于驱动器挂起时未安装，因此无法访问这些文件。

我尝试了 Ubuntu、Puppy、Slax 的 live CD 版本，试图看看我是否能以某种方式获得访问权限。到目前为止没有运气。

在某一时刻，我能够使用 Gparted 并使用我的全盘加密密码安装驱动器。但它仍然不允许我访问这些文件。

我唯一的选择是擦除磁盘并重新开始吗？如果可能的话，我真的很想保存主目录文件。

我还尝试从 live CD 安装 Ubuntu，认为它可以让我选择保存主目录，但它甚至无法识别磁盘上的任何内容，只想擦除所有内容。所以我只好退出。

非常令人沮丧。

df -Th在显示为的已安装 Veracrypt 文件中vfat，我的文件始终是可执行的。 $ ls -l x.txt 给出了 -rwx------ ... x.txt 如何使它不可执行？chmod -x x.txt不起作用，即使使用sudo; 也不是 withu-x等a-x g-x；也不chmod 400 x.txt

在 Nautilus 中，我也无法改变这一点。

这种行为正常吗？

（可能与此有关。）

我遇到的问题类似于无法读取 /dev/mapper/veracrypt1上的超级块，但根本无法读取映射器设备。可以读取底层物理磁盘。即Veracrypt 可以解密加密的容器，但不能从中返回单个字节。

进一步来说：

• Ubuntu 服务器 18.04，带有四个使用 Veracrypt 1.23 完全加密的磁盘。
• 一个磁盘掉电后挂载失败。
• 由于无法快速找出故障磁盘出了什么问题，我重新创建了 veracrypt 分区并重新复制了上面的数据。
• 第二次断电后，两个磁盘无法挂载。一个和以前一样，又一个。
• 在两个失败中，第一个有一个加密分区，另一个是完全加密的。（所以他们有不同的设置。）
• 由于无法读取超级块错误，Veracrypt 挂载失败。
• 使用选项进行安装 --filesystem=none并允许访问映射器设备。
• 结果/dev/mapper/veracrypt1无法用普通工具检查或修复，mke2fs, e2fsck因为它根本无法读取。
• 即使dd从/dev/mapper/veracrypt1失败。尝试 syslog 时填充FAILED Result: hostbyte=DID_OK driverbyte=DRIVER_SENSE,Sense Key : Medium Error [current]和Add. Sense: Unrecovered read error - auto reallocate failed消息。
• dd从底层硬盘驱动器设备/dev/sde或/dev/sdb1正常工作，并允许以加密形式读取整个磁盘。

我怀疑某种硬件故障，但是：

• SMART 报告两个故障磁盘从未出现过任何问题。也可以如上所述阅读它们。
• 故障磁盘连接到不同的 SATA 卡，并且两者都是连接到各自卡的唯一磁盘。

我很迷惑。任何想法可能会发生什么以及尝试什么？

我想在启动时自动挂载一个 veracrypt 分区。但问题是我不能通过命令行挂载它，因为当我输入这个命令时：

# veracrypt -t --non-interactive -p some-password /dev/sdaX /media/veracrypt1/

我得到了休闲输出：

Operation failed due to one or more of the following:
- Incorrect password.
- Incorrect Volume PIM number.
- Incorrect PRF (hash).
- Not a valid volume.

Enter password for /dev/sdaX: 

我必须再次输入密码，但这一次，它安装了分区。

所以我需要从命令行挂载它，这样我就可以设置一个脚本在启动时自动挂载它。

用例

我有一个 Ubuntu 服务器机器，它包裹在一个包含 Web 应用程序的 VM（vmdk 文件）中。我想将此 VM 发送给某人并阻止他访问 VM 的内部文件系统——我不想让他从 vmdk 文件中提取机器的文件系统。

用户可以直接启动机器或关闭电源（当机器启动时 - 它会自动加载应用程序后端服务）。

解决方案？

我虽然关于使用硬盘加密（使用 LUKS 的全盘加密或其他解决方案，如 VeraCrypt），但我主要关心的是如何在基于服务器的环境中使用它。

我不想让用户输入任何解密密钥或类似的东西 - 我看到有一些解决方案可以在开始时自动解密文件系统，就像这里和这里一样，似乎我需要将解密密钥存储在里面虚拟机。

有没有办法通过使用远程用户登录来解密机器？（我不太担心旁道攻击或热 VM 克隆等更复杂的问题）。或者任何其他可以满足用例的解决方案？

更新

在@vidarlo 回答之后，我决定使用 FDE 解决方案来了解权衡。

在我使用的配置说明下方（假设 /boot 位于 /dev/sda1 未加密分区上，而加密分区位于 /dev/sdaX 分区上）。

创建一个新的随机密码并将其存储在 luks 密钥库中：

sudo dd if=/dev/urandom of=/boot/keyfile bs=1024 count=4
sudo chmod 0400 /boot/keyfile
sudo cryptsetup luksAddKey /dev/sdaX /boot/keyfile

通过运行以下命令获取 /dev/sda1 分区的 UUID：

sudo ls -l /dev/disk/by-uuid/

使用以下内容更新/etc/crypttab文件：

sdaX_crypt UUID=<UUID_OF_SDAX> /dev/disk/by-uuid/<UUID_OF_SDA1>:/keyfile luks,keyscript=/lib/cryptsetup/scripts/passdev

更新 initramfs

sudo update-initramfs -u

重启

sudo reboot

我无法在 18.10 Cosmic 上运行 Veracrypt，它说缺少 gtk 库。

veracrypt: error while loading shared libraries: libgtk-x11-2.0.so.0: cannot open shared object file: No such file or directory

但是，当我locate使用它时，它就在那里，作为一个快照包

$ locate libgtk-x11-2.0.so.0
/snap/gnome-3-26-1604/70/usr/lib/x86_64-linux-gnu/libgtk-x11-2.0.so.0
/snap/gnome-3-26-1604/70/usr/lib/x86_64-linux-gnu/libgtk-x11-2.0.so.0.2400.30

如何使它与 snap libgtk 一起工作？

我正在尝试使用从Veracrypt 官方网站下载的 gui 和控制台安装程序来安装 Veracrypt（1.22 版），而不是从 PPA 下载。单击 gui 安装程序或使用 sudo bash veracrypt-1.21-setup-gui-x64

Verifying archive integrity...  100%   All good. 
Uncompressing VeraCrypt 1.22 Installer  100%  
/home/na/Downloads/veracrypt-1.22-setup-gui-x64: 1: eval: /veracrypt_install_gui_x64.sh: Permission denied

我查看了以下资源： 无法安装 VeraCrypt - (k)ubuntu 17.10 VeraCrypt Gui 设置问题 讨论和问题部分在 codeplex档案

关于我的设置：Kubuntu (18.04)、UEFI（禁用安全启动）、安装了 XTerm

gui 安装程序的“权限”部分如图所示：

VeraCrypt gui 安装程序权限

我真的很感激任何帮助或建议。感谢您的时间。

编辑1：附加信息：不确定这是否相关，但以防万一：安装程序在我的另一台机器上运行良好（Kubuntu 16.04，MBR）。我遇到的错误是在 UEFI 机器上安装新的 Kubuntu 18.04（因 NVIDIA 问题而禁用安全启动）。我在同一台机器（UEFI）的一个分区上安装了 Debian Stretch 测试了安装程序 - 安装程序给出了同样的错误。

编辑#2：这是我尝试安装 VeraCrypt 时输出的屏幕截图（在此示例中，我使用的是 Dolphin 中的内置控制台。）

屏幕截图 - 在 Dolphin 的控制台中安装 Veracrypt

我已经搜索了网络，包括为此而访问的 veracrypt 官方论坛，但一无所获。几乎就像这个问题不存在支持一样。

当我去挂载分区时，它会吐出这个错误： mount: /media/veracrypt1: can't read superblock on /dev/mapper/veracrypt1.

现在，在 Veracrypt GUI 应用程序中，它显示它安装了几秒钟，然后吐出错误，然后它从列表中消失。

我拥有所有硬件，并且毫无问题地使用 Ubuntu MATE 18.04。我在这个驱动器上有 1 个未加密的其他分区，它安装得很好并且可以使用。同时安装在其他驱动器上的其他 veracrypt 分区没有遇到此错误，因为我仍然可以安装它们并使用驱动器。

我对终端和其他问题相当满意，但这让我感到困惑。

这就是我正在做的事情：

1)将此分区中的大型单词表文件复制到我的笔记本电脑。

2）笔记本电脑完全冻结。

3）我等了 3 个小时，它仍然被冻结。

4)磁盘没有明显的 I/O。

5)按住电源按钮。

6）重新启动正常。

重新启动后，我继续安装，它开始吐出那个错误。

现在，我还有其他重要的文件，如果可能的话，我想找回来。

我试过的：

1）通过终端安装，但我仍然可以使用支持

2）强制安装并尝试恢复超级块，但我不能，因为它不会安装分区足够长的时间来捕获任何东西。

3) GUI 安装选项但没有任何效果。

4)多次检查密码。

5）多次重启，检查所有连接。

唯一相关的帖子是Can't read superblock with veracrypt并且 OP 在贪婪地询问他自己解决的信息后避免发布解决方案。但是，我将继续尝试使其在收益递减的情况下工作，如果我以某种方式解决了这个问题，将发布解决方案。

任何帮助将不胜感激。

- - 编辑 - -

下面“Frustrated Crypter”提供的答案是正确的。有用。我设法遇到了这个问题，除了使用相同的存储介质略有不同并且它有效！！！我能够完全按照“Frustrated Crypter”的描述恢复数据。

当 Frustrated Crypter 提到在不安装的情况下映射它时，有一个名为“选项”的按钮会展开弹出窗口，询问您尝试安装的驱动器/分区/文件的密码。在该扩展选项中，有一个复选框可供选择，以防止其安装。之后，我只需右键单击映射但未安装的驱动器/分区/文件并选择修复.. 解决了我所有的问题。

“失意的密码师”，不管你是谁，我都想请你喝啤酒（我什至没有撒谎）。以某种方式在这里给我发消息，这样我就可以在没有其他人有指导或指导的情况下适当地感谢您对此事的投入。