7.2. Geëncrypteerde volumes aankoppelen

Indien u tijdens de installatie geëncrypteerde volumes aanmaakte en er aankoppelpunten aan toekende, zal u tijdens het opstarten gevraagd worden om voor elk van die volumes de wachtwoordzin te geven.

Bij partities die met dm-crypt geëncrypteerd werden, zult u tijdens het opstarten de volgende prompt zien:

Starting early crypto disks... part_crypt(starting)
Enter LUKS passphrase:

In de eerste regel van de prompt is part de naam van de onderliggende partitie, bijv. sda2 of md0. U vraagt zich nu wellicht af voor welk volume u eigenlijk de wachtwoordzin geeft. Is het voor /home? Of is het misschien voor /var? Als u natuurlijk maar één geëncrypteerd volume heeft, is het gemakkelijk en kunt u gewoon de wachtwoordzin geven die u gebruikte bij het instellen van dat volume. Indien u bij de installatie meer dan één geëncrypteerd volume instelde, komen de notities die u nam tijdens de laatste stap in Paragraaf 6.3.4.6, “Geëncrypteerde volumes instellen” nu van pas. Indien u niet eerder notitie nam van de samenhang tussen elk part_crypt en zijn overeenkomstig aankoppelpunt, kunt u daar alsnog zicht op krijgen in /etc/crypttab en /etc/fstab van uw nieuw systeem.

Het kan zijn dat de prompt er wat anders uitziet als een geëncrypteerd root-bestandssysteem aangekoppeld wordt. Dit is afhankelijk van welk programma als initramfs-generator gebruikt werd voor het genereren van het initrd-bestand waarmee het systeem wordt opgestart. Het hierna volgende voorbeeld geldt voor een initrd dat aangemaakt werd met initramfs-tools:

Begin: Mounting root file system... ...
Begin: Running /scripts/local-top ...
Enter LUKS passphrase:

Er zullen geen tekens (zelfs geen sterretjes) weergegeven worden terwijl de wachtwoordzin ingevoerd wordt. Indien u de verkeerde wachtwoordzin geeft, krijgt u nog twee extra kansen. Na de derde poging zal het opstartproces dit volume overslaan en voortgaan met het aankoppelen van het volgende bestandssysteem. Raadpleeg Paragraaf 7.2.1, “Problemen oplossen” voor bijkomende informatie.

Nadat u alle wachtwoordzinnen ingegeven heeft, zou het opstartproces zoals gewoonlijk moeten voortgaan.

7.2.1. Problemen oplossen

Indien bepaalde geëncrypteerde volumes niet aangekoppeld konden worden omdat een foute wachtwoordzin gegeven werd, zult u ze zelf moeten aankoppelen na het opstarten. Er kunnen zich verschillende scenario's voordoen.

  • In een eerste scenario gaat het om de root-partitie. Als die niet correct aangekoppeld wordt, stopt het opstartproces en zult u de computer opnieuw moeten opstarten en nogmaals moeten proberen.

  • Het gemakkelijkste scenario is dat waarbij het om geëncrypteerde volumes gaat waarop gegevens staan zoals /home of /srv. U kunt ze gewoon handmatig aankoppelen na het opstarten.

    Met dm-crypt is dat echter een beetje gecompliceerd. Eerst moet u de volumes bij device mapper registreren met de opdracht:

    # /etc/init.d/cryptdisks start
    

    Hierdoor worden alle volumes die in /etc/crypttab vermeld worden, onderzocht en nadat de correcte wachtwoordzin opgegeven werd, wordt een passend apparaat aangemaakt onder de map /dev. (Reeds geregistreerde volumes worden overgeslagen. U kunt dit commando dus zonder problemen verschillende keren na elkaar gebruiken.) Na een succesvolle registratie kunt u de volumes op de gebruikelijke manier aankoppelen:

    # mount /aankoppel_punt
    

  • Indien een volume met niet-cruciale systeembestanden niet aangekoppeld kon worden (/usr of /var), zal het systeem nog altijd opstarten en zult u ze zoals in het vorige scenario handmatig kunnen aankoppelen. U zult echter de diensten die u op een volledig functioneel systeem gewoonlijk gebruikt, moeten (her)starten omdat de kans groot is dat ze niet opgestart werden. De gemakkelijkste manier is de computer gewoon herstarten.