09.06.2012 22:50, Artem Chuprina пишет: > Артём Н. -> [email protected] @ Sat, 09 Jun 2012 18:49:55 > +0400: > > АН> Есть два шифрованных диска. Используется LUKS. Пароли одинаковы. > АН> Как _правильно_ сделать так, чтобы пароль не вводился два раза? > > АН> Ключевое слово - "правильно". > АН> Я решил, но достаточно криво. > > ... > > АН> Но делать через cryptroot, думаю, не совсем правильно. Есть ли варианты > лучше? > > У меня криптованный своп и рут на одном пароле сделаны по рецепту из > > /usr/share/doc/cryptsetup/README.initramfs.gz, раздел > 9. The "decrypt_derived" keyscript > > Я не скажу сходу, что в твоем случае оно тоже сработает, но попробуй > присмотреться. Подозреваю, что оно решает ровно эту задачу, но это > более-менее штатное средство. Посмотрел на скрипт. Он простой, но сходу, я не въезжаю, что он делает. >< Судя по описанию: 'If cryptswap is used as your suspend/resume device, you'd normally need to enter two different passphrases during the boot, but the "decrypt_derived" script can generate the key for the second mapping using a hash of the key for the first mapping.' К тому же: 'WARNING: If you use the decrypt_derived keyscript for devices with persistent data (i.e. not swap or temp devices), then you will lose access to that data permanently if something damages the LUKS header of the LUKS device you derive from.'
За указание спасибо. Я о такой штуке не знал. Всё-таки, радует то, что в дистрибьютиве есть штатные средства. Но у моего решения есть некоторый плюс: нет зависимости устройств. Нет никаких ключей на базе хэшей предыдущего ключа (что, например, даёт возможность, зная ключ основного устройства, получить ключ зависимого (хотя это и не так важно, поскольку у меня например, одинаковые парольные фразы, но минус в том, что парольную фразу легко сменить, а ключи нет)). Полностью независимые устройства и ключи. Меня смущает ещё и то, что пришлось делать через cryptroot, вообще. Ведь, по-идее, корень у меня не шифрован... Тянет на костыль. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
