7.2. Připojení zašifrovaných svazků

Jestliže jste při instalaci vytvořili nějaké šifrované svazky a přiřadili jim přípojné body, budete během zavádění dotázáni na přístupovou frázi ke každému takovému svazku. Samotný postup se mezi dm-crypt a loop-AES mírně liší.

7.2.1. dm-crypt

Pro oblasti zašifrované pomocí dm-crypt uvidíte při zavádění výzvu podobnou této:

Starting early crypto disks... part_crypt(starting)
Enter LUKS passphrase:

kde oblast je název oblasti, která byla zašifrována. Možná nyní přemýšlíte, pro který svazek vlastně frázi zadáváte. /home? /var? Samozřejmě pokud máte jen jediný šifrovaný svazek, tyto pochyby vás trápit nemusí a stačí zadat frázi, kterou jste použili při vytváření svazku. Pro ostatní se nyní hodí poznámky, které jste si poznačili jako poslední krok 6.3.3.6 – „Nastavení šifrovaných svazků“. Pokud jste si nepoznačili dvojice oblast_crypt a přípojný bod, můžete tuto informaci najít v souboru /etc/fstab (a částečně v /etc/crypttab) ve svém novém systému.

Při připojování kořenového souborového systému může výzva k zadání fráze vypadat mírně jinak. Vzhled závisí na generátoru, kterým byl initrd vytvořen. Initrd v následujícím příkladu byl vytvořen nástrojem initramfs-tools:

Begin: Mounting root file system... ...
Begin: Running /scripts/local-top ...
Enter LUKS passphrase:

Během zadávání přístupové fráze se nezobrazují žádné znaky (ani hvězdičky). Zadáte-li chybnou frázi, máte ještě dva další pokusy. Po třetím pokusu, zaváděcí proces tento svazek přeskočí a bude pokračovat připojením dalšího souborového systému. Přeskočený svazek můžete připojit později ručně, viz část 7.2.3 – „Řešení problémů“.

Po zadání všech přístupových frází by mělo zavádění pokračovat jako obvykle.

7.2.2. loop-AES

Pro oblasti zašifrované pomocí loop-AES uvidíte při připojování výzvu podobnou této:

Checking loop-encrypted file systems.
Setting up /dev/loopX (/pripojny_bod)
Password:

Během zadávání přístupové fráze se nezobrazují žádné znaky (ani hvězdičky). Buďte opatrní, máte pouze jediný pokus. Zadáte-li i v třetím pokusu chybnou frázi, zobrazí se chybová hláška, zaváděcí proces tento svazek přeskočí a bude pokračovat připojením dalšího souborového systému. Přeskočený svazek můžete připojit později ručně, viz část 7.2.3 – „Řešení problémů“.

Po zadání všech přístupových frází by mělo zavádění pokračovat jako obvykle.

7.2.3. Řešení problémů

Pokud se některé šifrované svazky nepodařilo připojit kvůli chybné přístupové frázi, budete je muset připojit po zavedení systému ručně. Existuje několik možností.

  • První případ se zabývá kořenovou oblastí. Pokud se tato nepřipojí, zavádění se zastaví a pro další pokus budete muset počítač restartovat.

  • Nejjednodušší případ se týká datových oblastí typu /home nebo /srv. Po zavedení je stačí ručně připojit. Pro loop-AES stačí jediný krok:

    # mount /pripojny_bod
    Password:
    

    kde /pripojny_bod byste měli nahradit za konkrétní adresář (např. /home). Jediný rozdíl oproti připojení běžné oblasti je, že budete dotázáni na přístupovou frázi.

    U dm-crypt je připojení trošku složitější. Nejprve musíte zaregistrovat svazky do části jádra nazvané device mapper. Slouží k tomu příkaz

    # /etc/init.d/cryptdisks start
    

    který prohledá všechny svazky zmíněné v souboru /etc/crypttab a po zadání správných přístupových frází vytvoří příslušná zařízení v adresáři /dev. (Již zaregistrované svazky budu přeskočeny, takže můžete příkaz spustit bez obav i několikrát po sobě.) Po úspěšné registraci můžete svazky připojit tradičním

    # mount /pripojny_bod
    

  • Pokud se nepodařilo připojit svazky obsahující nekritické části systému (např. /usr nebo /var), systém by se měl stále zavést a měli byste mít možnost připojit svazky ručně stejně jako v předchozím případě. Navíc byste ale měli nastartovat (resp. restartovat) služby, které se spouští ve vašem výchozím runlevelu, protože je velmi pravděpodobné, že se nespustily. Nejjednodušší cestou je asi restart celého počítače.