Monter des volumes chiffrés à partir de la ligne de commande?

Si j'ai un disque externe chiffré (ou un disque interne qui n'est pas dans fstab), je vois une entrée correspondante dans Nautilus - avec une entrée telle que "X GB Encrypted Volume". Je peux cliquer sur ce volume et je suis invité à saisir un mot de passe pour décrypter et monter le périphérique.

Mais comment puis-je faire cela à partir de la ligne de commande?

Cette page wiki et les autres documents que je peux trouver ne font référence qu'à des méthodes d'interface graphique permettant de déchiffrer l'appareil. mais cela ne fonctionnera pas dans le contexte de serveurs sans tête ou de connexions SSH. Existe-t-il un moyen simple de monter des périphériques sur des emplacements automatiques /mediaexactement comme ils le feraient avec l'interface graphique?

(Je ne pose pas de question sur les répertoires personnels cryptés - je suis au courant ecryptfs-mount-private. Cette question concerne des volumes cryptés supplémentaires.)

Les étapes de la réponse de @Georg Schölly ne fonctionnaient pas pour moi à l'époque, bien qu'elles puissent fonctionner maintenant, quelques versions d'Ubuntu après. À l'époque, après l' sudo mount /dev/mapper/my_encrypted_volume /media/my_deviceétape, j'ai eu l'erreur:

mount: type de système de fichiers inconnu 'LVM2_member'

Déverrouillage et montage du disque avec udiskctl

Au lieu de cela, j'ai utilisé udisksctlune interface de ligne de commande qui interagit avec le udisksdservice.

Voici ce qui a fonctionné ( /dev/sdb5la partition de mon disque dur est-elle marquée comme suit crypt-luks):

udisksctl unlock -b /dev/sdb5
udisksctl mount -b /dev/mapper/ubuntu--vg-root

Après avoir tapé la première commande, vous serez invité à saisir votre phrase secrète de chiffrement. Une fois que la partition cryptée est déverrouillée, la deuxième commande la monte. Si cela réussit, vous obtiendrez un message semblable à ceci:

Mounted /dev/dm-1 at /media/dpm/e8cf82c0-f0a3-41b3-ab28-1f9d23fcfa72

De là, j'ai pu accéder aux données :)

Verrouiller le disque avec udiskctl

Démontez l'appareil:

udisksctl unmount -b /dev/mapper/ubuntu--vg-root

Vous devez d'abord désactiver tous les volumes logiques du ubuntu-vggroupe de volumes. Sinon, vous obtiendrez une erreur le long de la ligne "Périphérique occupé" si vous essayez de le verrouiller ( plus d'infos ):

sudo lvchange -an ubuntu-vg

Ensuite, vous serez en mesure de verrouiller la partition cryptée

udisksctl lock -b /dev/sdb5

Remarques

• Les udisksctlcommandes sont exécutées sans sudo .

• Dispositif de noms Mapper : la ubuntu--vg-rootdénomination pourrait changer dans les versions Ubuntu (par exemple , je l' ai vu appelé system-rootet ubuntu-rootaussi). Un moyen simple de connaître le nom consiste à exécuter la commande suivante après avoir déverrouillé la partition LUKS :

  ls -la /dev/mapper

  Ensuite, en regardant le résultat de la lscommande, le nom dont vous aurez besoin sera généralement celui qui est lié symboliquement à/dev/dm-1

• Noms du mappeur de périphérique, alternative : une alternative à la commande précédente consiste à exécuter:

  lsblk -e7

  Vous pourrez y voir le mappage du nom de périphérique sous forme d'arborescence. L' -e 7option est utilisée pour exclure de la sortie les périphériques en boucle (ID 7) créés par les instantanés installés. Simplement pour avoir moins d'encombrement.

• Noms de volumes logiques : vous pouvez exécuter la sudo lvscommande pour connaître les noms des groupes de volumes et des volumes logiques
• Application Disks : l' application GNOME Disks ne désactive pas automatiquement les volumes logiques avant le verrouillage de la partition. Même si vous avez réussi à déverrouiller la partition via l'interface graphique, vous devez accéder à la ligne de commande et exécuter la sudo lvchange -an ubuntu-vgcommande avant de pouvoir la verrouiller à partir de l'interface graphique.

Votre volume est probablement chiffré avec LUKS, voici comment le monter:

Vous avez besoin:

sudo apt-get install cryptsetup

Pour déchiffrer le volume:

sudo cryptsetup luksOpen /dev/sda1 my_encrypted_volume

Maintenant vous pouvez le monter comme d'habitude:

sudo mkdir /media/my_device
sudo mount /dev/mapper/my_encrypted_volume /media/my_device

Pour verrouiller à nouveau le conteneur, il doit d'abord être démonté:

sudo umount /media/my_device
sudo cryptsetup luksClose my_encrypted_volume

Pour le mettre automatiquement à l’ /mediaemplacement, utilisez l’outil Udisks.

sudo udisks --mount /dev/mapper/my_encrypted_volume

Si vous obtenez cette erreur:

mount: unknown filesystem type 'LVM2_member'

courir:

sudo apt-get install lvm2
sudo lvscan

puis activez tous les LVM que vous voyez

sudo vgchange -ay

puis relancez le montage:

sudo mount /dev/mapper/my_encrypted_volume /media/my_device

Un des problèmes que j'ai rencontré était les groupes de volumes en double : mon système de récupération et le lecteur à récupérer étaient des systèmes Ubuntu avec LVM. C’est la raison pour laquelle j’avais deux ubuntu-vggroupes de volumes ( vgdisplayles afficherait, chacun avec son propre UUID, mais je ne pouvais pas accéder à leurs volumes logiques).

Ma solution s'appuie sur la réponse de Georg:

• Démarrez à partir d'un live-linux (pour ne pas vous retrouver dans le nom du groupe de volumes dupliqué)
• sudo cryptsetup luksOpen /dev/sdaX my_encrypted_volume
• entrez votre phrase secrète lorsque vous y êtes invité

• sudo vgscan devrait maintenant prendre les volumes / groupes contenus.

• DRAGONS À L'AVANT: NOUS CHANGONS LE NOM DU GROUPE VOLUME. VOUS NE POUVEZ PAS COMMENCER À CONDUIRE APRÈS!

  utiliser sudo vgrename ubuntu-vg ubuntu-vg2pour renommer le groupe de volumes.

  Si vous avez besoin pour démarrer ce lecteur, vous pouvez faire ces étapes à nouveau, mais renommer votre groupe de volumes retour à ubuntu-vg. Une autre possibilité consiste à modifier votre configuration de démarrage en utilisant le nouveau nom de vg.

Maintenant que le nom de vg en double est résolu, je peux redémarrer dans mon système habituel, refaire le cryptsetup..., vgscanpuis monter /dev/mapper/ubuntu--vg2-rootoù bon vous semble.

sdb1 voici un exemple où vous devriez entrer le nom de votre appareil, aucune de ces commandes n’exigera de privilèges root.

déverrouiller le disque crypté

udisksctl unlock -b /dev/sdb1

après avoir inséré le mot de passe correct, le résultat obtenu sera le suivant: Déverrouillé / dev / sdb1 sous / dev / dm-3

puis montez-le sur / media /

udisksctl mount -b /dev/dm-3

il devrait produire quelque chose comme ceci: Mounted / dev / dm-3 sur / media / yourUserName / sdb

le démonter

udisksctl unmount -b /dev/dm-3

pour le verrouiller à nouveau

udisksctl lock -b /dev/sdb1

Toutes les réponses ci-dessus partaient du principe que l'utilisateur sait déjà quelle partition est la partition cryptée. Venant de quelqu'un qui n'aime pas tellement la ligne de commande, je m'attendais à une réponse conviviale ... Voilà donc mes 2cents.

1. Ouvrez l'application "disques" d'ubuntu.
2. Localisez votre disque dur monté dans le panneau de gauche.
3. Cliquez sur la partition portant le nom "LUKS": vous pourrez ainsi voir son point de montage dans le texte "Périphérique" ci-dessous (dans mon cas:) /dev/sdb4.

Ensuite, j'ai essayé de le monter comme indiqué ci-dessus:

$ sudo cryptsetup luksOpen /dev/sdb4 someNameForMyVolume
Enter passphrase for /dev/sdb4: 

Mais j'ai cette erreur:

Cannot use device /dev/sdb4 which is in use (already mapped or mounted).

Ok, donc j'imagine que nautilus a déjà essayé de le monter (car il m’a demandé le mot de passe lors de la connexion USB, même s’il n’a pas affiché l’arbre déchiffré). Cependant, le message d'erreur n'est pas vraiment utile car il ne me dit pas où il est déjà mappé / monté. Mais cette commande aide dans ce cas:

$ udisksctl unlock -b /dev/sdb4
Passphrase: 
Error unlocking /dev/sdb4: GDBus.Error:org.freedesktop.UDisks2.Error.Failed: Device /dev/sdb4 is already unlocked as /dev/dm-3

Aha! Donc c'est /dev/dm-3.

Cependant, lorsque vous essayez de le monter, cela ne fonctionne pas:

$ udisksctl mount -b /dev/dm-3
Object /org/freedesktop/UDisks2/block_devices/dm_2d3 is not a mountable filesystem.

Après beaucoup de bricolage, j'ai découvert que je rencontrais le duplicate volume groupsproblème (décrit ci-dessus par @amenthes) parce que les commandes sudo vgscan -vet sudo vgdisplaymontraient deux entrées avec le même nom de groupe de volumes. Cependant, j'ai trouvé un meilleur moyen de le gérer que sa méthode (inutile de démarrer sur un LiveCD pour renommer les groupes de volumes!), Dans ce lien , que je citerai ci-dessus (juste au cas où ce lien serait brisé ...) :

Si vous courez, ls -la /dev/mapper/vous devriez voir un luks-xxxxxx-xxxxx-xxxxou plusieurs de ces fichiers. C'est le mappage créé lorsque Ubuntu a demandé le mot de passe de chiffrement avec une boîte de dialogue, mais il n'a pas réussi à l'ouvrir (tout le dialogue a luksOpenconsisté à appeler et à le mapper sur ce fichier / dev / mapper / luks-xxx). Maintenant:

1. Assurez-vous que votre volume physique est disponible en exécutant la sudo pvdisplaycommande. Ce devrait être / dev / mapper / luks-xxx-que ce soit.
2. Obtenez le uuid du volume en exécutant sudo pvs -o +vg_uuid. L'uuid sera la valeur affichée complètement à droite, contenant 7 valeurs délimitées par des tirets. Copiez-les quelque part car nous les utiliserons à l'étape suivante. NE PAS CONFUSER DES UUIDS ET COPIER LE MAUVAIS. Copiez uniquement celui de votre périphérique actuel / dev / mapper / luks-xxx.
3. Changez le groupe de volumes de votre ancien disque en exécutant la commande suivante. sudo vgrename UUIDOFYOURDISKHERE oldhdVous pouvez remplacer "oldhd" par ce que vous voulez, à condition qu'il diffère du nom du groupe de volumes de votre disque actuel. Cette étape supprime le conflit avec les noms de groupe de volumes, ce qui vous permet maintenant de rendre les volumes disponibles.
4. Exécutez la commande vgchange -a ypour rendre les volumes actifs.
5. Créez un dossier pour un point de montage quelque part, par exemple: sudo mkdir /media/<yourUserName>/someDir
6. Monter: sudo mount /dev/oldhd/root /mnt/oldhd.
7. Après avoir utilisé vos fichiers, vous devez renommer votre groupe de volumes en ubuntu-vgsi vous souhaitez que le volume soit toujours amorçable.

Pour ceux d'entre nous qui ne veulent pas utiliser un outil graphique, même pour déterminer quelle partition est chiffrée.

• trouver des partitions chiffrées

  lsblk -lf | grep LUKS
  

  -ldemande le format "liste" - nous n'avons pas besoin de l'arbre
  -fnous montre le nom du système de fichiers aussi
  nous obtenons quelque chose comme

  sdc2 crypto_LUKS b09d6209-......

• déverrouiller la partition que nous voulons (dans mon cas /dev/sdc2)

  udisksctl unlock -b /dev/sdc2
  

  -bsignifie que nous donnons le chemin à un périphérique en mode bloc
  après avoir entré la phrase secrète, nous obtenons une réponse affirmative avec les informations nécessaires pour l'étape suivante:

  Unlocked /dev/sdc2 as /dev/dm-6

• monter le périphérique nouvellement créé ( dmstand pour le gestionnaire de périphériques )

  udisksctl mount -b /dev/dm-6
  

  Encore une fois, nous obtenons une réponse affirmative avec des informations utiles:

  Mounted /dev/dm-6 at /media/g/Data.

  ( gétant mon nom d'utilisateur sur ce système, Dataest l'étiquette que j'ai utilisée pour cette partition)

  Il se peut que votre système de bureau / gestionnaire de fichiers ait déjà monté automatiquement le périphérique ou que vous l’ayez fait vous-même auparavant. Ensuite, vous obtenez quelque chose comme

  Error mounting /dev/dm-6: GDBus.Error:org.freedesktop.UDisks2.Error.AlreadyMounted: Device /dev/dm-6 is already mounted at '/media/g/Data'.

  Ce n'est pas un problème, vous pouvez quand même accéder aux données de la partition chiffrée.

• accéder aux données: ls /media/g/Data

• démonte le nouveau (utilisez le même nom que vous avez utilisé pour le montage, la commande est unmount, pas umount :-))

  udisksctl unmount -b /dev/dm-6
  

  Si l'appareil n'est pas occupé, vous obtiendrez

  Unmounted /dev/dm-6.

• Maintenant, verrouillez à nouveau la partition (vous devez vous rappeler le nom de la partition)

  udisksctl lock -b /dev/sdc2
  

  Tu auras

  Locked /dev/sdc2.

• éventuellement éteindre le disque externe complet

  udisksctl power-off -b /dev/sdc
  

  Avec un bureau graphique, vous pouvez obtenir une erreur ici:

  Error powering off drive: The drive in use: Device /dev/sdc3 is mounted (udisks-error-quark, 14)

  Dans ce cas, vous pouvez utiliser udisksctlpour démonter les partitions une par une jusqu'à ce que vous réussissiez. Le udisksctl power-offne renvoie aucun message.

Je suis entré dans plusieurs chemins à partir des réponses précédentes et seule une combinaison des réponses précédentes a fonctionné pour moi. Il ce que j'ai fait et ce qui s'est bien passé, et ce qui a mal tourné et ma solution de contournement.

J'ai un disque dur crypté LUKS que je dois monter à partir d'une clé USB à démarrage en direct pour Ubuntu 15.10 . Pour ce faire, j'ai commencé avec la commande suivante,

udisksctl unlock -b /dev/sda3

où sda3 est la partition chiffrée. Cette commande n'a pas fonctionné avec moi et je ne sais pas pourquoi, alors j'ai utilisé la commande suivante:

sudo cryptsetup luksOpen /dev/sda1 my_encrypted_volume

cela a fonctionné avec moi et je n'ai pas eu besoin de l'installer car il était là dans le démarrage en direct.

Maintenant, j'ai besoin de monter la HD, et ce n'était pas une chose simple: j'ai essayé:

sudo mkdir /media/my_device
sudo mount /dev/mapper/my_encrypted_volume /media/my_device

Mais la deuxième commande n'a pas fonctionné avec moi, et je dois donc trouver un travail autour de ce qui suit:

sudo udisksctl mount -b /dev/mapper/ubuntu--vg-root

C'était mon chemin .. mais vous pouvez utiliser le chemin dev/mapper/ubuntupuis double onglet pour voir le reste des options. Cela a monté le disque dur en tant que:

Mounted /dev/dm-1 at /media/root/03cf6b80-fa7c-411f-90b9-42a3398529ce

Ensuite, j'ai utilisé la commande suivante pour le monter /media/my_devicecomme suit:

sudo mount /dev/dm-1 /media/my_device/

qui a bien fonctionné.

En résumé

sudo cryptsetup luksOpen /dev/sda1 my_encrypted_volume
sudo mkdir /media/my_device
sudo udisksctl mount -b /dev/mapper/ubuntu--vg-root
sudo mount /dev/dm-1 /media/my_device/

Vous pouvez le monter en deux étapes et j'ai un exemple de script.

Note: le service udiskctl montera les choses sous / media, il est plus conçu pour les utilisateurs de bureau qui montent des clés USB. Si vous souhaitez monter le périphérique ailleurs, ce n'est pas la solution que vous recherchez.

Voici ce que j'ai travaillé. Dans cet exemple, mon périphérique chiffré est une partition créée avec lvm, mais cela n'a pas vraiment d'importance. C'est une partition au format ext4. Dans sa forme cryptée, il vit à

/dev/myvg/opt1 

une partition chiffrée est "ouverte" (déchiffrée) comme ceci

  STEP 1:  sudo cryptsetup luksOpen /dev/myvg/opt1 opt1_opened

(c'est ici que vous entrez la phrase secrète)

le dernier argument est une référence temporaire au périphérique bloc décrypté. Le «mappage» disparaît lorsque vous redémarrez afin que vous puissiez choisir un nom différent à chaque fois, si vous le souhaitez.

il est maintenant visible en tant que périphérique:

ls /dev/mapper
control  myvg-opt1  myvg-root  opt1_opened

Vous pouvez monter ce périphérique: nous avons maintenant un périphérique ext4. Pour que ce soit pratique, ajoutez une ligne dans / etc / fstab

/dev/mapper/opt1_opened /opt1   ext4    noauto,users    0       0

et indiquez le point de montage (dans mon cas sudo mkdir /opt1:, puis configurez les autorisations à votre guise). Si vous avez utilisé le nom opt1_opened à l'étape 1, il s'agit de la deuxième étape pour le monter:

STEP 2: mount /opt1   #the fstab line lets users mount, so no need for sudo

et c'est monté.

Par conséquent, un script bash:

#!/bin/bash
#needs to be run sudo
read -s -p "Enter LUKS password: " luks_password
printf $luks_password | cryptsetup luksOpen /dev/myvg/opt1 opt1_opened --key-file -
sudo -u tim mount /opt1

La bonne réponse est gio mount -d /dev/dm-x(pas de sudo).

Les réponses précédentes montrent une déconnexion avec le mode de montage Nautilus ou Nemo, car vous devez entrer le mot de passe LUKS même s'il a déjà été mis en cache dans le trousseau de l'utilisateur à partir de l'interface graphique. L'utilisation gioautomatique utilise la phrase secrète précédemment stockée par Nautilus ou Nemo.

Pour une réponse plus détaillée, voir https://unix.stackexchange.com/questions/394320/what-command-does-nemo-use-to-mount-drives/536842#536842

Je cherchais le même ...

Les mkdirétapes étaient ma raison de chercher plus loin. J'ai également modifié policykitpour permettre à mon utilisateur de monter sans demander au préalable le mot de passe root, puis le mot de passe du volume chiffré sudo.

Ma solution que j'ai trouvée était l'utilisation de gvfs-mountl' gvfs-binemballage. Maintenant, avec un on gvfs-mount -d /dev/sda7me demande le mot de passe crypté seulement et il est monté sous /media/VOLUME_LABEL.

Sur mon Chromebook avec (Croûton) Ubuntu Xenial 16.04, je trouve que lorsque je publie:

sudo cryptsetup luksOpen / dev / sda1 my_encrypted_volume

Selon la publication ci-dessus et entrez ma phrase secrète, je reçois le message "Aucune clé disponible avec cette phrase secrète". Cependant, par accident, j'ai trouvé (et c'est très étrange!) Tout fonctionne quand j'ajoute "--debug" à la commande cryptsetup! Je peux alors monter le volume et accéder aux fichiers.

Demander au gestionnaire de fichiers Thunar de réaliser les résultats de montage "Non autorisé à effectuer l'opération." Erreur. Je suis incapable de trouver un moyen de contourner cela, mais comme je peux faire le montage en ligne de commande, c'est un peu acceptable.

Ok, donc j'ai une solution de travail les gars, comme expliqué précédemment, la raison pour laquelle vous obtenez une mount: unknown filesystem type 'LVM2_member'erreur est parce que par défaut, votre machine Linux attribue le même nom VG à un disque dur externe, par conséquent toutes les partitions sur le disque dur externe sont inactives.

Voici ce que vous devez faire:

1. débranchez votre disque dur externe et prenez note de votre UUID VG interne en utilisant ( sudo vgdisplay command),
2. branchez maintenant votre disque dur externe et renommez le groupe VG de votre disque dur externe (pas interne, cela cassera votre boîte) ( vgrename UUID_Number [new-group]).
3. Vérifiez que le nouveau nom est mis à jour dans VGdiplay, activez maintenant le nouveau groupe VG ( vgchange [new_group] -a y), vérifiez que toutes les partitions sont activées ( lvscan).
4. Maintenant, vous devriez voir toutes vos partitions en dessous ls /dev/mapper/[new_group], tout ce que vous avez à faire est de monter la partition ( mount -t ext4 /dev/mapper/[new_group]-data /zez)