7.2. Montaje de volúmenes cifrados

Se te pedirá la contraseña para cada uno de los volúmenes cifrados durante el arranque si has creado volúmenes cifrados durante la instalación y los has asociado a puntos de montaje.

Se mostrará la siguiente indicación durante el arranque para las particiones que están cifradas con dm-crypt:

Starting early crypto disks... part_crypt(starting)
Enter LUKS passphrase:

En la primera línea del indicador, part es el nombre de la partición subyacente, p.ej. sda2 o md0. La pregunta que puede hacerse es ¿para qué volumen estás introduciendo la contraseña? ¿Se trata de /home o de /var? Por supuesto, si tienes solamente un volumen cifrado es muy sencillo y sólo tendrás que introducir la clave que utilizaste al definir este volumen. Si configuras más de un volumen encriptado durante la instalación, las notas que escribiste en el último paso en Sección 6.3.4.6, “Configurar volúmenes cifrados” te serán útiles. Si no tomaste nota de la relación entre part_crypt y los puntos de montaje anteriormente aún podrá encontrarla en los ficheros /etc/crypttab y /etc/fstab de tu nuevo sistema.

El indicador puede ser un poco distinto cuando lo que se monta es el sistema de ficheros raíz. El mensaje exacto dependerá del generador de initramfs que se utilizó para generar el initrd usado para arrancar el sistema. El ejemplo que se muestra a continuación corresponde al mensaje del initrd generado con initramfs-tools:

Begin: Mounting root file system... ...
Begin: Running /scripts/local-top ...
Enter LUKS passphrase:

No se mostrará ningún carácter (ni siquiera asteriscos) mientras introduces la clave. Si introduces mal la clave tendrás dos intentos más para corregirla. Después del tercer intento erróneo el proceso de arranque se saltará ese volumen y continuará intentando montar el siguiente sistemas de ficheros. Para más información consulta Sección 7.2.1, “Resolución de problemas”.

El proceso de arranque debería continuar normalmente una vez hayas introducido todas las claves.

7.2.1. Resolución de problemas

Tendrás que montar manualmente los volúmenes cifrados si no se pudieron montar al no introducir bien la clave. Aquí se dan ciertos casos distintos.

  • El primer caso está asociado a la partición raíz. El proceso de arranque no podrá continuar y se parará si no se monta ésta correctamente, con lo que tendrá que reiniciar el equipo e intentarlo de nuevo.

  • El caso más sencillo es para los volúmenes cifrados que almacenan datos como /home o /srv. Puedes montarlos manualmente justo después de arrancar.

    Es un poco más complicado para el caso de «dm-crypt». Primero tendrás que registrar los volúmenes con el device mapper ejecutando:

    # /etc/init.d/cryptdisks start
    

    Esto escaneará todos los volúmenes descritos en /etc/crypttab y creará todos los dispositivos necesarios en el directorio /dev tras introducir la contraseña correcta. Se omitirán los volúmenes que ya estén registrados por lo que puedes repetir esta orden tantas veces como necesites. Una vez registrado con éxito el dispositivo sólo hay que montarlo de la forma habitual:

    # mount /punto_de_montaje
    

  • Si no se puede montar algún volumen que contenga archivos de sistema no críticos (/usr o /var), el sistema debería arrancar y deberías poder montar los volúmenes manualmente como en el caso anterior. Sin embargo, también tendrás que (re)iniciar cualquier servicio que se ejecute habitualmente en tu nivel de ejecución por defecto, porque es muy probable que no se haya iniciado. La forma más sencilla es reiniciar el ordenador.