7.2. Προσάρτηση κρυπτογραφημένων τόμων

Αν δημιουργήσατε κρυπτογραφημένους τόμους κατά την διάρκεια της εγκατάστασης και τους αποδώσατε σημεία προσάρτησης, θα σας ζητηθεί να εισάγετε την συνθηματική φράση για κάθε έναν από τους τόμους αυτούς στην εκκίνηση. Η διαδικασία στην πράξη διαφέρει ελαφρά μεταξύ κρυπτογραφήσεων dm-crypt και loop-AES.

7.2.1. loop-AES

Για κατατμήσεις κρυπτογραφημένες με χρήση dm-crypt θα δείτε το ακόλουθο προτρεπτικό στην διάρκεια της εκκίνησης:

Starting early crypto disks... part_crypt(starting)
Enter LUKS passphrase:

. Στην πρώτη γραμμή του προτρεπτικού, part είναι ο αριθμός της σχετικής κατάτμησης, πχ. sda2 ή md0. Θα αναρωτιέστε πιθανόν τώρα για ποιον τόμο εισάγετε στην πραγματικότητα την συνθηματική φράση. Σχετίζεται με την κατάτμηση /home; Ή με την κατάτμηση /var; Φυσικά, αν έχετε μόνο έναν κρυπτογραφημένο τόμο αυτό είναι εύκολο και μπορείτε απλά να εισάγετε την συνθηματική φράση που χρησιμοποιήσατε κατά την ρύθμιση του τόμου. Αν έχετε ρυθμίσει περισσότερους από έναν κρυπτογραφημένους τόμους κατά την εγκατάσταση, οι σημειώσεις που κρατήσατε στο τελευταίο βήμα στην ενότητα Τμήμα 6.3.3.6, “Ρύθμιση Κρυπτογραφημένων Τόμων” θα φανούν χρήσιμες. Αν δεν κρατήσατε μια σημείωση για την αντιστοίχιση ανάμεσα στις κατατμήσεις part_crypt και τα σημεία προσάρτησης από πριν, μπορείτε ακόμα να την βρείτε στα αρχεία /etc/crypttab και /etc/fstab του καινούριου σας συστήματος.

Το προτρεπτικό μπορεί να μοιάζει κάπως διαφορετικό αν προσαρτήσετε ένα κρυπτρογραφημένο ριζικό σύστημα αρχείων. Αυτό εξαρτάται από το ποιο πρόγραμμα δημιουργίας του συστήματος αρχείων initramfs χρησιμοποιήθηκε για την δημιουργία της initrd που χρησιμοποιείται για την εκκίνηση του συστήματος. Το παράδειγμα που ακολουθεί είναι για έναν δίσκο μνήμης initrd που δημιουργήθηκε με το πρόγραμμα initramfs-tools:

Begin: Mounting root file system... ...
Begin: Running /scripts/local-top ...
Enter LUKS passphrase:

Όταν εισάγετε τον κωδικό πρόσβασης δεν εμφανίζονται καθόλου χαρακτήρες (ούτε καν αστερίσκοι). Προσέξτε, έχετε μόνο μια προσπάθεια. Αν εισάγετε λάθος κωδικό, θα εμφανιστεί ένα μήνυμα σφάλματος και η διαδικασία εκκίνησης θα παραλείψει τον συγκεκριμένο τόμο, προχωρώντας στην προσάρτηση του επόμενου συστήματος αρχείων. Παρακαλώ δείτε την ενότητα Τμήμα 7.2.3, “Επίλυση προβλημάτων” για περισσότερες πληροφορίες.

Μετά την εισαγωγή όλων των συνθηματικών φράσεων η εκκίνηση θα συνεχιστεί ως συνήθως.

7.2.2. dm-crypt

TODO: να συμπληρωθεί όταν γίνει λειτουργική η μέθοδος.

Έλεγχος για loop-κρυπτογραφημένα συστήματα αρχείων.
Ορισμός του dev/loopX (/mountpoint)
Password:

Όταν εισάγετε τον κωδικό πρόσβασης δεν εμφανίζονται καθόλου χαρακτήρες (ούτε καν αστερίσκοι). Προσέξτε, έχετε μόνο μια προσπάθεια. Αν εισάγετε λάθος κωδικό, θα εμφανιστεί ένα μήνυμα σφάλματος και η διαδικασία εκκίνησης θα παραλείψει τον συγκεκριμένο τόμο, προχωρώντας στην προσάρτηση του επόμενου συστήματος αρχείων. Παρακαλώ δείτε την ενότητα Τμήμα 7.2.3, “Επίλυση προβλημάτων” για περισσότερες πληροφορίες.

Μετά την εισαγωγή όλων των συνθηματικών φράσεων η εκκίνηση θα συνεχιστεί ως συνήθως.

7.2.3. Επίλυση προβλημάτων

Αν κάποιοι από τους κρυπτογραφημένους τόμους δεν ήταν δυνατόν να προσαρτηθούν λόγω της εισαγωγής λάθος συνθηματικής φράσης θα πρέπει να τους προσαρτήσετε με το χέρι μετά την εκκίνηση. Υπάρχουν αρκετές περιπτώσεις.

  • Η πρώτη περίπτωση αφορά την ριζική κατάτμηση. Αν δεν προσαρτηθεί σωστά, η διαδικασία εκκίνησης θα σταματήσει και θα πρέπει να επανεκκινήσετε τον υπολογιστή και να προσπαθήσετε ξανά.

  • Η απλούστερη περίπτωση αφορά τους κρυπτογραφημένους τόμους που περιέχουν δεδομένα κατατμήσεων όπως οι /home ή /srv. Μπορείτε απλά να τους προσαρτήσετε με το χέρι μετά την εκκίνηση. Για κρυπτογράφηση loop-AES αυτή είναι μια διαδικασία ενός βήματος:

    # mount /mount_point
    Password:
    

    όπου /mount_point θα πρέπει να αντικατασταθεί με τον συγκεκριμένο κατάλογο (πχ. /home). Η μόνη διαφορά από μια συνηθισμένη διαδικασία προσάρτησης είναι ότι θα σας ζητηθεί να εισάγετε την συνθηματική φράση γι' αυτόν τον τόμο.

    Για κρυπτογράφηση dm-crypt η κατάσταση είναι λίγο πιο περίπλοκη. Πρώτα θα πρέπει να καταγράψετε τους τόμους με το πρόγραμμα device mapper και εκτελώντας:

    # /etc/init.d/cryptdisks start
    

    . Αυτό θα "σαρώσει" όλους τους τόμους που αναφέρονται στο /etc/crypttab και θα δημιουργήσει κατάλληλες συσκευές στον κατάλογο /dev μετά την εισαγωγή των σωστών συνθηματικών φράσεων (οι τόμοι που είναι ήδη εγγεγραμμένοι θα παραλειφθούν, συνεπώς μπορείτε να επαναλάβετε αυτή την εντολή αρκετές φορές άφοβα). Μετά την πετυχημένη εγγραφή μπορείτε απλά να προσαρτήσετε τους τόμους με τον συνηθισμένο τρόπο:

    # mount /mount_point
    

  • Αν οι τόμοι που δεν περιέχουν αρχεία κρίσιμα για το σύστημα δεν μπορούν να προσαρτηθούν (/usr ή /var), το σύστημα είναι ακόμα εκκινήσιμο και μπορείτε να προσαρτήσετε αυτούς τους τόμους με το χέρι όπως και στην προηγούμενη περίπτωση. Θα χρειαστεί όμως επίσης να επανεκκινήσετε και όσες υπηρεσίες τρέχουν συνήθως στο προκαθορισμένο σας runlevel γιατί είναι πολύ πιθανόν να μην έχουν ξεκινήσει. Ο ευκολότερος τρόπος να το πετύχετε αυτό είναι το να περάσετε στο πρώτο runlevel και μετά πάλι στο προκαθορισμένο πληκτρολογώντας

    # init 1
    

    στο προτρεπτικό του κελύφους και στη συνέχεια Control+D όταν σας ζητηθεί ο κωδικός πρόσβασης του χρήστη root.