7.2. Montaje de volúmenes cifrados

Se le solicitará la contraseña para cada uno de los volúmenes cifrados durante el arranque si ha creado volúmenes cifrados durante la instalación y los ha asociado a puntos de montaje. El procedimiento difiere ligeramente en función de si se utiliza «dm-crypt» o «loop-AES».

7.2.1. dm-crypt

Se mostrará la siguiente indicación durante el arranque para las particiones que están cifradas con «dm-crypt»:

Starting early crypto disks... part_crypt(starting)
Enter LUKS passphrase:

En la primera línea del indicador, part es el nombre de la partición subyacente, p.ej. sda2 o md0. La pregunta que puede hacerse es ¿para qué volumen está introduciendo la contraseña? ¿Se trata de /home o de /var? Por supuesto, si tiene solamente un volumen cifrado es muy sencillo y sólo tendrá que introducir la clave que utilizó cuando definía esta volumen. Las notas que escribió tras el último paso en Sección 6.3.3.6, “Configurar volúmenes cifrados” le serán ahora de utilidad si configuró más de un volumen cifrado durante la instalación. Si no tomo nota de la relación entre part_crypt y los puntos de montaje anteriormente aún podrá encontrarla en los ficheros /etc/crypttab y /etc/fstab de su nuevo sistema

El indicador puede ser un poco distinto cuando lo que se monta es el sistema de ficheros raíz. El mensaje exacto dependerá del generador de initramfs que se utilizó para generar el initrd utilizado para el arranque del sistema. El ejemplo que se muestra a continuación corresponde al mensaje del initrd generado con initramfs-tools:

Begin: Mounting root file system... ...
Begin: Running /scripts/local-top ...
Enter LUKS passphrase:

No se mostrará ningún carácter (ni siquiera asteriscos) mientras vd. introduce la clave. Si introduce mal la clave tendrá dos intentos más para corregirla. Después del tercer intento erróneo el proceso de arranque saltará ese volumen y continuará intentando montar el siguiente sistemas de ficheros. Para más información consulte Sección 7.2.3, “Solucionar problemas”.

El proceso de arranque debería continuar normalmente una vez haya introducido todas las claves.

7.2.2. loop-AES

Se le mostrará el siguiente indicador durante el arranque en el caso de que tenga particiones cifradas con «loop-AES»:

Checking loop-encrypted file systems.
Setting up /dev/loopX (/mountpoint)
Password:

No se mostrará ningún carácter (ni siquiera asteriscos) mientras vd. introduce la clave. Si introduce mal la clave tendrá dos intentos más para corregirla. Después del tercer intento erróneo el proceso de arranque saltará ese volumen y continuará intentando montar el siguiente sistemas de ficheros. Para más información consulte Sección 7.2.3, “Solucionar problemas”.

El proceso de arranque debería continuar normalmente una vez haya introducido todas las claves.

7.2.3. Solucionar problemas

Tendrá que montar manualmente los volúmenes cifrados si no se pudieron montar porque no introdujo bien la clave. Aquí se dan ciertos casos distintos:

  • El primer caso está asociado a la partición raíz. El proceso de arranque no podrá continuar y se parará si no se monta ésta correctamente, con lo que tendrá que reiniciar el equipo e intentarlo de nuevo.

  • El caso más sencillo se da en los volúmenes cifrados que guardan datos como pueda ser el caso de /home o /srv. Simplemente puede intentar montarlo de nuevo tras el arranque. En el caso de «loop-AES» se hace con una operación de un solo paso:

    # mount /punto_de_montaje
    Password:
    

    donde debería reemplazar /punto_de_montaje por el directorio correspondiente (p.ej. /home). La única diferencia con el montaje normal de sistemas de ficheros es que se le preguntará la contraseña para este volumen.

    Es un poco más complicado para el caso de «dm-crypt». Primero tendrá que registrar los volúmenes con el device mapper ejecutando:

    # /etc/init.d/cryptdisks start
    

    Esto hará que se sondeen todos los volúmenes descritos en /etc/crypttab y se crearán todos los dispositivos necesarios en el directorio /dev tras introducir la contraseña correctamente. Se omitirán los volúmenes que ya estén registrados por lo que puede repetir esta orden tantas veces como necesite. Una vez que haya registrado con éxito el dispositivo sólo tiene que montarlos de la forma habitual:

    # mount /punto_de_montaje
    

  • El sistema debería arrancar aún cuando no se puedan montar los sistemas de ficheros que no contengan ficheros del sistema críticos (/usr o /var). Por lo que debería poder montar los volúmenes manualmente como se ha descrito anteriormente. Sin embargo, tendrá que arrancar o reiniciar los servicios que se ejecutan en su nivel de ejecución normal porque es muy probable que no se hayan podido arrancar. La forma más fácil de conseguir esto es cambiando al primer nivel de ejecución y volver al nivel actual introduciendo lo siguiente:

    # init 1
    

    y en el indicador del intérprete de órdenes pulse Control+D cuando se le pregunte la contraseña de root.