LUKSマスターキーファイルを再利用して起動時にパーティションを復号化する

私はコンパクトなフォームファクタPCでラップトップのハードドライブを再利用しています。 PCは、RDPを介して接続する休止状態の仮想マシンのみを備えた時々使用されるマシンです。コンピュータはほとんどの時間オフになっています。 LANを介してスリープモードを解除してから、必要なVMをスリープモードから解除できます。問題は、ラップトップのハードドライブを再利用すると、ただ起動してFedora 31をアップデートしてから使用し続けることです。

SSDには2つのパーティションがあります。sda1はい、LUKSボリューム/bootを含むスワップパーティション。sda2問題は、ネットワークからコンピュータを起動するときに復号化するパスワードを要求することです。//home/dev/sda2

これはlsblk：

NAME                                          MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                                             8:0    0 465.8G  0 disk  
├─sda1                                          8:1    0   500M  0 part  /boot
└─sda2                                          8:2    0 465.3G  0 part  
  └─luks-151aef9f-a994-4495-a532-63899b1720d4 253:0    0 465.3G  0 crypt 
    ├─fedora_patchtop-root                    253:1    0    50G  0 lvm   /
    ├─fedora_patchtop-swap                    253:2    0   3.9G  0 lvm   [SWAP]
    └─fedora_patchtop-home                    253:3    0 411.4G  0 lvm   /home
sr0                                            11:0    1  1024M  0 rom   

ご覧のとおり、/dev/sda1内容/dev/bootはいいえ暗号化されました。

このコンピュータはハードドライブの暗号化が必要な環境では使用されなくなり、むしろ無人起動機能が必要なので、起動時にパスワードプロンプトを削除できたらと思います。

これで、/dev/sda21つのキースロット（スロット0）が使用されます。

私が最初にしたことは、次のようにキーファイルをダンプすることでした。

cryptsetup luksDump /dev/sda2 --dump-master-key --master-key-file master.key

その後、暗号化されていないパーティションで動作するようにmaster.key入力しました。/boot

-r--------. 1 root root 64 Apr 18 10:15 /boot/master.key

現在、/etc/crypttab.my crypttabには次の1行しかありません。

luks-151aef9f-a994-4495-a532-63899b1720d4 UUID=151aef9f-a994-4495-a532-63899b1720d4 none

私はそれを次のように変更しました：

luks-151aef9f-a994-4495-a532-63899b1720d4 UUID=151aef9f-a994-4495-a532-63899b1720d4 /boot/master.key luks,initramfs

最後に、以下のようにdracutを使って新しいinitramfsを作成しました。

dracut -vfN

ただし、再起動後もパスワードの入力を求められます。

また、新しいキーファイルを作成して、LUKS設定のスロット1のキーとして使用してみましたが、手動で入力する必要があるパスワードの入力を求められます。しかし、スロット0はまだ手動パスワードであり、一番上から始めているので、パスワードを続けるかどうかはわかりません。

参考として重要な場合、私のパーティションのUUIDは次のようになります。

NAME                                          UUID                                   MOUNTPOINT
sda                                                                                  
├─sda1                                        43f00ca0-60d2-4c20-9b20-4ec914c575cf   /boot
└─sda2                                        151aef9f-a994-4495-a532-63899b1720d4   
  └─luks-151aef9f-a994-4495-a532-63899b1720d4 RlyNgN-3ca3-cqvW-iljT-meWT-eqTO-h02Xh6 
    ├─fedora_patchtop-root                    60a53d2a-db9b-47be-991f-cdbdcfd8e72d   /
    ├─fedora_patchtop-swap                    ef05de8f-cd1e-4491-b837-80656b91dc60   [SWAP]
    └─fedora_patchtop-home                    7b457fab-02a9-40f9-a22b-e0c16be2f137   /home

---

編集する

私はもう一つのことを試しました：

まず、非常に簡単なパスワードを作成しました。

cryptsetup luksAddKey /dev/sda2 --force-password

実際にはパスワードが空です。主な理由は、この時点で問題が発生した場合は、パスワードプロンプトでEnterキーを押すだけです。これはかなりうまく機能します。

次に、上記のキーをスロット0に追加しました。

cryptsetup luksChangeKey /dev/sda2 /boot/master.key --key-slot 0

私がこれをした主な理由は、キースロットが順番にチェックされるというcryptsetupのマニュアルページを読んだからです。したがって、スロット０、次にスロット１などに進む。スロット0だったので、まだパスワードを聞いているかもしれないと思いました。したがって、スロット0のキーファイルを使用してパスワードが第二スロット1のオプション。

今回も新しいinitramfsを作成して再起動しましたが、葉巻はありません。それでもパスワードの入力を求められますが、今回はEnterキーを押すだけで実行されます。

しかし、まだ状況は満足していません。システムを起動するには、パスワードプロンプトでEnter / Returnキーを押す必要があります。これを行うには、少なくともキーボードが機械に接続されている必要がありますが、ほとんど完全にヘッドがないという考えです。だから、モニタもなく、キーボードもありません。