Připojení zašifrovaného oddílu v Grubu

[rennergy]

Zašifrovaný oddíl jsem vytvořil s výchozími volbami jednoduše pomocí "cryptsetup luksFormat <device>".

Daří se mi ho v systému otevřít pomocí "cryptsetup luksOpen <device> <name>".

Ovšem pokud ho chci otevřít grubem (ve verzi 2.14~rc1 by to mělo být možné), pokus pomocí "cryptomount -u <UUID>" končí hláškou "Invalid passphrase." V zadání hesla chyba rozhodně není. Před cryptomount mám v grubu zavedené potřebné moduly pomocí "insmod luks2". PBKDF mám argon2id (jak jsem zjistil pomocí "cryptsetup luksDump <device>") a modul "argon2" je zaveden jako závislost luks2.

Tedy vše by mělo být připraveno a fungovat, ale nefunguje.

Jinak je to spíš takové hraní si, systém na zašifrované partition mi nabootuje pomocí UKI, chtěl bych však mít možnost bootovat postaru (kernel a initramfs) ze zašifrované partition, k čemuž je nutné rozběhat ten cryptomount v grubu.

S LUKS1 zašifrovaným diskem mě cryptomount fungoval (byť byl děsivě pomalý - 18 sekund otevření disku v grubu oproti 2 sekundám v naběhlém systému).

Věděl byste někdo, co s tím, resp. máte někdo zkušenost s LUKS2 v kombinaci s grubem 2.14~rc1?

[Reklama]

[reddy1975]

Zdravím,

pokud máte v tom šifrovaném oddílu komplet root i s bootem, pak tam je potřeba luks1, protože grub umí natahovat bootovací oddíl pouze s luks1. Pokud máte oddíly oddělené, pak stačí mít pouze ten s /boot v luks1, zbytek luks2. Grub nepodporuje luks2 pro boot.

[rennergy]

Zdravím,

pokud máte v tom šifrovaném oddílu komplet root i s bootem, pak tam je potřeba luks1, protože grub umí natahovat bootovací oddíl pouze s luks1. Pokud máte oddíly oddělené, pak stačí mít pouze ten s /boot v luks1, zbytek luks2. Grub nepodporuje luks2 pro boot.

Jste si jistý, že poslední výrok platí i pro verzi 2.14~rc1? Ale to je spíš na okraj. Nemám a nechci mít grub na zašifrované partition. Jde mně vpodstatě o funkčnost příkazu cryptomount v grubu s LUKS2, což je novinka 2.14~rc1 a fungovat by měla.

Mám multiboot Gentoo+Arch(+Windows). Nezašifrovanou samostatnout partition pro grub (v Gentoo je připojena jako /boot partition, v Archu ne). Naběhlým grubem chci přečíst zašifrovanou partition Arch Linuxu, kde je jeho kernel+initramfs+samostatně vygenerovaný grub.cfg (ten jde přečíst pomocí configfile a pak pomocí něj bootovat).

[TechnikTom]

Nevím jestli pomůžu, ale podobně se mi to začalo chovat na jednom PC s Lubuntu po té, co jsem jen zkoušel Grub Customizer.
Ani jsem myslím nic neměnil a neukládal.
Od té doby mi to nastartuje jen když při bootu zvolím Advanced options a tam vyberu kernel, nebo co to je, s číslem max 113.
U všech novějších to skončí přesně stejnou hláškou.
Beru to jako další level zabezpečení  )