[sisyphus] Как установить систему на зашифрованный диск?

Michael A. Kangin mak на complife.ru
Пт Мар 9 17:11:13 MSK 2018 

On 03/09/2018 02:28 PM, Stas wrote:

> Из коробки - никак.

Увы.

> Во-первых, возьмём метод "несколько разделов LUKS" на физическом диске
> или массиве RAID. Инсталлятор не знает, что для всех ваших томов LUKS вы
> задали один и тот же пароль, он просто перечисляет все разделы LUKS в
> /etc/cryptsetup, а при загрузке скрипт смотрит в него и инициализирует
> каждый том отдельно.

Если имеется несколько "разнесённых в пространстве" разделов LUKS, то 
(руками) это реализуется очень просто - все разделы шифруются 
файлом-ключом, а чтобы расшифровать этот самый файл-ключ, спрашивается 
однократно пароль.

Кажется, сейчас у make-initrd-luks есть подобная функциональность 
(например, можно помедитировать об 
/usr/share/make-initrd/features/luks/data/lib/initrd/filters/lukskeys), 
но документации, как использовать, я не нашёл (например, по явно 
ключевому слову /etc/luks.keys не грепается ни вики, ни списки рассылок).

Я пока в такой ситуации выкручиваюсь самописными инициализационными 
скриптиками.

> Во-вторых, возьмём метод "раздел LUKS делаем виртуальным диском", на
> котором уже LVM (разделы на loop-дивайсе - задача нетривиальная), и в
> этом LVM создаём тома. Такая сложная конфигурация не предусмотрена в
> инсталляторе, к тому же важен порядок инициализации в initrd, чтобы
> сначала выполнялся ctyptsetup для доступных томов, потом LVM, потом
> снова cryptsetup для оставшихся томов - в реальности используется
> намного более простая логика: cryptsetup перед монтированием тома.

Опять же, очень просто. Из физического раздела делаем LUKS, а на нём 
делаем физический том (pvcreate), группу томов и так далее.

make-initrd-luks осиливает такое искаробки в P8 (не совсем идеально - 
https://lists.altlinux.org/pipermail/community/2018-March/687172.html)

Но всё это при установке - в режиме сплошной ручной работы (не 
"инсталляция" системы, а "вкорячивание" какое-то).

Что-то за последние лет 5 наверное ни разу не получилось воспользоваться 
штатным инсталлятором. %(

Подробная информация о списке рассылки Sisyphus