暗号化されたディスクを起動時に自動的にマウントする

Full_Disk_Encryption_Howto_2019 - Community Help Wiki

ディスクの暗号化は新たに暗号化されたディスクを追加するの手順にて行ったと想定．

$ sudo su -
# apt install -y cryptsetup-initramfs

# echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook 
# echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf 

暗号化されたドライブは/dev/sdb1であると想定．

# mkdir /etc/luks
# dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=512 count=1
1+0 records in u=rx,go-rwx /etc/luks
1+0 records out
512 bytes (0.5 kB, 0.5 KiB) copied, 0.0002368 s, 17.3 MB/s

# chmod u=rx,go-rwx /etc/luks
# chmod u=r,go-rwx /etc/luks/boot_os.keyfile

# cryptsetup luksAddKey /dev/sdb1 /etc/luks/boot_os.keyfile 
Enter any existing passphrase: 

# echo "[NAME] UUID=$(blkid -s UUID -o value /dev/sdb1) /etc/luks/boot_os.keyfile luks" >> /etc/crypttab

[NAME]は重複しない任意の文字列に置き換える．

• 備考 Full_Disk_Encryption_Howto_2019 - Community Help Wiki に記載されているコマンドでは

    # echo "LUKS_BOOT UUID=$(blkid -s UUID -o value ${DEVP}1) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab
  

  によって，SSDのTrimオプションが有効になってしまっている．しかし，Trimを有効にすることはセキュリティ上の問題が発生するようである．
  参考→ソリッドステートドライブ - ArchWiki

  よってTrimはOffにする．

/etc/fstabに設定を書く．参考→dm-crypt/システム設定 - ArchWiki

# nano /etc/fstab

/dev/mapper/[name]  /mnt/[mount point]/  ext4   defaults,errors=remount-ro  0  2