[ubuntu-jp:4291] Re: Ubuntu ServerをLVMで暗号化してインストールした時の件について

[Kazuhiro NISHIYAMA]

西山和広です。

At Wed, 12 Dec 2012 15:38:06 +0900,
稲葉伸之 wrote:
> 
> Ubuntu12.04 サーバ　を使わせてもらっています。
> 今まで、使っていませんでしたが、インストール時にLVMで暗号化してインストールしてみました。
> そこで、Passphraseを聞かれ設定しました。

インストール時にLVMで暗号化を選んだということで、 /boot は暗号化されていないと思いますが、
その構成だと仮定しておきます。

> なにかと、セキュリティ上、利点があると思ってやって見ました。
> インストールが終わって起動させると、
> 起動のある時点で、そのPassphraseを入れなくては先に進まないようですね。

initramfs の中で
/usr/share/initramfs-tools/scripts/local-top/cryptroot
(のコピー) が実行されるタイミングのようです。

> 自分としては、リモートで使うつもりなので、すんなりと起動してもらいたいのですが、
> Passphraseを入力するところをFileを読ませるとかなにか、自動で起動できるようにしたいのですが、
> なにかうまい方法をごぞんないでしょうか？
> 
> 全体を暗号化するそして、そのまま、起動できるとほんとに助かるのですが。

/usr/share/doc/cryptsetup/README.initramfs.gz とか
http://askubuntu.com/questions/59487/how-to-configure-lvm-to-autodecrypt-partition
とかを参考にしてみてください。

手順としては

1. 鍵ファイル作成 (パーミッションなどに注意)
2. luksAddKey
3. /etc/crypttab で設定
4. update-initramfs で initramfs に反映

となります。


/etc/crypttab の例としては

vda5_crypt UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx /dev/disk/by-uuid/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:/vda5_crypt.key luks,keyscript=/lib/cryptsetup/scripts/passdev

のようになります。
この例では xxx... が vda5 の UUID で yyy... が vda1 の UUID になっていて、
vda1 が /boot にマウントされていて、鍵ファイルは /boot/vda5_crypt.key に
おいています。


今のサーバーはこういう設定でパスフレーズの入力部分は自動化できたのに、
grub2 のメニューの方が自動で進まないことがあって困っていますが、
サーバーなのでいろいろ変更して試すことも出来ず、解決できていません...。


-- 
|ZnZ(ゼット エヌ ゼット)
|西山和広(Kazuhiro NISHIYAMA)