我目前正在尝试以纯模式使用dm-crypt来实现全盘加密,而没有带有单独/boot
USB记忆棒的LUKS头。
我的主要目标是在基于Debian的发行版上实现合理的可否认性。目前,我已经设法使用加密分区cryptsetup
并将/boot
分区安装到单独的USB密钥。一切都按预期进行,因为加密头未存储在LUKS中,所以我需要在initramfs屏幕上手动输入它,但是在这一步,我只是得到一个错误,指示initramfs中没有cryptsetup(“ / bin / sh:cryptsetup:未找到”),同时尝试解析标头。
结论:
dev/sda
使用dm-crypt
(/root
和/home
卷)通过以下方式加密:
cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda
dev/sdb
装有grub的靴子
我可以从引导杆成功引导。我看到Ubuntu屏幕启动画面大约20秒钟,这是我希望达到合理的可否认性的目的,然后它落入抱怨无法找到的initramfs之中,/dev/mapper/root
这也是我想要实现的目标。
问题是,当我想解析允许我输入密码并继续引导的cryptsetup行时,initramfs会抱怨“ cryptsetup:not found”。
我猜这个抱怨是真的。我的问题是:如何将cryptsetup安装到initramfs中,以便允许进一步启动密码提示?
另外,我知道我省略了在中添加相应条目的内容/etc/fstab
,/etc/crypttab
并且在启动过程中未找到任何设备。
这些是我找到并用于设置所有当前配置的指南,也许这可以清除我在问题中未涉及的内容:
- http://and1equals1.blogspot.ro/2009/10/encrypting-your-hdd-with-plausible.html
- https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Plain_dm-crypt
第一个版本有些过时,第二个版本是Arch Linux的版本,但是我使用了其中两个版本,并进行了一些微调,安装了最新的Lubuntu。