7.2. Montando volumes criptografados

Se você criou volumes criptografados durante a instalação e atribuiu pontos de montagem para eles, você será questionado por senhas para cada um desses volumes durante a inicialização. O procedimento atual difere levemente entre dm-crypt e loop-AES.

7.2.1. dm-crypt

Para partições criptografadas usando dm-crypt serão exibidas em sua tela as seguintes linhas (“prompt”) durante a inicialização:

Starting early crypto disks... part_crypt(starting)
Enter LUKS passphrase:

Na primeira linha exibida, o part é o nome da partição, por exemplo sda2 ou md0. Você agora provavelmente deve estar pensando para qual volume você está efetivamente digitando a senha. Para seu /home? Ou para /var? Claro que se você tiver apenas um volume criptografado, isso é fácil e você pode digitar a senha que você atribuiu a ele. Se você configurou mais de um volume criptografado durante a instalação, as notas que você escreveu como últimos passos em Seção 6.3.2.4, “Configurando Volumes Cryptografados” serão úteis. Caso você não tenha feito anotações sobre o mapeamento entre part_crypt e os pontos de montagem, você ainda pode encontrar essas informações no arquivo /etc/crypttab e /etc/fstab do seu novo sistema.

A linha de comando pode parecer um pouco diferente quando um sistema de arquivos raiz criptografado estiver montado. Isso depende de qual gerador initramfs foi usado para gerar a initrd usada para inicializar o sistema. O exemplo abaixo é para uma initrd gerada usando initramfs-tools:

Begin: Mounting root file system... ...
Begin: Running /scripts/local-top ...
Enter LUKS passphrase:

Nenhum caractere (nem mesmo asteriscos) será exibido durante a digitação da senha. Se você digitar a senha errada, você terá mais duas tentativas para corrigir isso. Após a terceira tentativa o processo de inicialização irá pular esse volume e continuar, montando o próximo sistema de arquivos. Por favor veja Seção 7.2.3, “Resolução de Problemas (“Troubleshooting”)” para mais informações.

Após digitar todas as senhas o processo de inicialização continua normalmente.

7.2.2. loop-AES

Para partições criptografadas com o uso do loop-AES você terá o seguinte prompt durante a inicialização:

Checking loop-encrypted file systems.
Setting up /dev/loopX (/mountpoint)
Password:

Nenhum caractere (nem mesmo asteriscos) será exibido durante a digitação da senha. Se você digitar a senha errada, você terá mais duas tentativas para corrigir isso. Após a terceira tentativa o processo de inicialização irá pular esse volume e continuar, montando o próximo sistema de arquivos. Por favor veja Seção 7.2.3, “Resolução de Problemas (“Troubleshooting”)” para mais informações.

Após digitar todas as senhas o processo de inicialização continua normalmente.

7.2.3. Resolução de Problemas (“Troubleshooting”)

Caso alguns dos volumes criptografados não possam ser montados porque uma senha incorreta foi informada, você terá que montá-los manualmente após a inicialização. Há vários casos.

  • O primeiro caso é a partição root. Quando ela não é montada corretamente, o processo de inicialização é interrompido e você terá que reiniciar o computador para tentar novamente.

  • O caso mais fácil é o de volumes criptografados que armazenam dados como /home ou /srv. Você pode simplesmente montá-los manualmente após a inicialização. Para loop-AES isso é uma operação de um passo:

    # mount /ponto_de_montagem
    Password:
    

    onde /ponto_de_montagem deve ser substituído pelo diretório apropriado (e.g. /home). A única diferença em relação a uma montagem comum é que você será questionado por uma senha para esse volume.

    Para o dm-crypt isso é um pouco mais complicado. Primeiro você tem que registrar os volumes com um mapeador de dispositivos (“device mapper”) executando:

    # /etc/init.d/cryptdisks start
    

    Isso irá iniciar uma busca em todos os volumes mencionados em /etc/crypttab e irá criar os dispositivos apropriados sob o diretório /dev, após a digitação das senhas apropriadas. (Volumes já registrados serão ignorados, portanto você pode repetir esse comando várias vezes sem preocupações). Após concluir com sucesso os registros, você pode montar os volumes da maneira usual.

    # mount /ponto_de_montagem
    

  • Se qualquer um dos volumes que armazenam sistemas de arquivos não-críticos não puderem ser montados (/usr ou /var), o sistema deve continuar o processo de inicialização e você deve ser capaz de montar os volumes manualmente, como nos casos previamente vistos. Contudo, você também terá que (re)iniciar qualquer serviço que esteja rodando em seu nível de execução padrão. Muito provavelmente eles não foram iniciados. A maneira mais fácil de fazer isso é ir para o primeiro nível de execução e voltar digitando:

    # init 1
    

    através da linha de comando e pressionando Control-D quando questionado pela senha do root.