[ubuntu-jp:4291] Re: Ubuntu ServerをLVMで暗号化してインストールした時の件について
Kazuhiro NISHIYAMA
zn @ mbf.nifty.com
2012年 12月 19日 (水) 11:01:03 UTC
西山和広です。
At Wed, 12 Dec 2012 15:38:06 +0900,
稲葉伸之 wrote:
>
> Ubuntu12.04 サーバ を使わせてもらっています。
> 今まで、使っていませんでしたが、インストール時にLVMで暗号化してインストールしてみました。
> そこで、Passphraseを聞かれ設定しました。
インストール時にLVMで暗号化を選んだということで、 /boot は暗号化されていないと思いますが、
その構成だと仮定しておきます。
> なにかと、セキュリティ上、利点があると思ってやって見ました。
> インストールが終わって起動させると、
> 起動のある時点で、そのPassphraseを入れなくては先に進まないようですね。
initramfs の中で
/usr/share/initramfs-tools/scripts/local-top/cryptroot
(のコピー) が実行されるタイミングのようです。
> 自分としては、リモートで使うつもりなので、すんなりと起動してもらいたいのですが、
> Passphraseを入力するところをFileを読ませるとかなにか、自動で起動できるようにしたいのですが、
> なにかうまい方法をごぞんないでしょうか?
>
> 全体を暗号化するそして、そのまま、起動できるとほんとに助かるのですが。
/usr/share/doc/cryptsetup/README.initramfs.gz とか
http://askubuntu.com/questions/59487/how-to-configure-lvm-to-autodecrypt-partition
とかを参考にしてみてください。
手順としては
1. 鍵ファイル作成 (パーミッションなどに注意)
2. luksAddKey
3. /etc/crypttab で設定
4. update-initramfs で initramfs に反映
となります。
/etc/crypttab の例としては
vda5_crypt UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx /dev/disk/by-uuid/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:/vda5_crypt.key luks,keyscript=/lib/cryptsetup/scripts/passdev
のようになります。
この例では xxx... が vda5 の UUID で yyy... が vda1 の UUID になっていて、
vda1 が /boot にマウントされていて、鍵ファイルは /boot/vda5_crypt.key に
おいています。
今のサーバーはこういう設定でパスフレーズの入力部分は自動化できたのに、
grub2 のメニューの方が自動で進まないことがあって困っていますが、
サーバーなのでいろいろ変更して試すことも出来ず、解決できていません...。
--
|ZnZ(ゼット エヌ ゼット)
|西山和広(Kazuhiro NISHIYAMA)
ubuntu-jp メーリングリストの案内