J'essaie actuellement d'obtenir un cryptage complet du disque en utilisant dm-crypt en mode clair sans en-tête LUKS avec une /boot
clé USB séparée .
Mon objectif principal est de parvenir à un déni plausible sur une distribution basée sur Debian. Pour l'instant, j'ai réussi à chiffrer les partitions en utilisant cryptsetup
et à installer la /boot
partition sur une clé USB distincte. Tout se passe comme il se doit et parce que l'en-tête pour le chiffrement n'est pas stocké dans LUKS, je dois le saisir manuellement sur l'écran initramfs, mais à cette étape, j'obtiens simplement une erreur qui indique qu'il n'y a pas de cryptage dans initramfs ("/ bin / sh: cryptsetup: not found ") lors de l'analyse de l'en-tête.
En conclusion:
dev/sda
chiffré à l'aidedm-crypt
(/root
et des/home
volumes) avec:
cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda
dev/sdb
bâton de démarrage avec grub installé
Je peux démarrer avec succès à partir du bootstick. Je vois l'écran de démarrage Ubuntu pendant environ 20 secondes, ce que je voulais atteindre pour un déni plausible, puis il tombe sur les initramfs se plaignant de ne pas pouvoir trouver /dev/mapper/root
- ce qui est également quelque chose que je voulais réaliser.
Le problème est que lorsque je veux analyser la ligne cryptsetup qui me permettrait d'entrer un mot de passe et de continuer le démarrage, alors l'initramfs se plaint de "cryptsetup: not found".
Je suppose que cette plainte est vraie. Ma question est: comment installer cryptsetup dans les initramfs pour permettre un démarrage plus rapide de l'invite de mot de passe?
De plus, je sais que j'omets quelque chose en ajoutant les entrées appropriées dans /etc/fstab
, /etc/crypttab
et les appareils ne sont pas trouvés au démarrage.
Ce sont les guides que j'ai trouvés et utilisés pour configurer toutes les configurations actuelles, peut-être que cela éclaircira les choses que je n'ai pas couvert dans ma question:
- http://and1equals1.blogspot.ro/2009/10/encrypting-your-hdd-with-plausible.html
- https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Plain_dm-crypt
Le premier est un peu dépassé et le second est pour Arch Linux, mais j'en ai utilisé deux avec la dernière installation de Lubuntu avec peu de réglages.
la source
Réponses:
Selon initramfs-tools (8) , on peut ajouter des programmes à l'image initrd en ajoutant par exemple ce qui suit à un script de hook :
Des exemples de scripts de hook peuvent être trouvés dans
/usr/share/initramfs-tools/hooks
et sur mon système Ubuntu,/usr/share/initramfs-tools/hooks/cryptroot
ajoute en effet/sbin/cryptsetup
à l'initrd
image.Exemple:
la source