Full_Disk_Encryption_Howto_2019 - Community Help Wiki
ディスクの暗号化は新たに暗号化されたディスクを追加するの手順にて行ったと想定.
$ sudo su -
# apt install -y cryptsetup-initramfs
# echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook
# echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf
暗号化されたドライブは/dev/sdb1
であると想定.
# mkdir /etc/luks
# dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=512 count=1
1+0 records in u=rx,go-rwx /etc/luks
1+0 records out
512 bytes (0.5 kB, 0.5 KiB) copied, 0.0002368 s, 17.3 MB/s
# chmod u=rx,go-rwx /etc/luks
# chmod u=r,go-rwx /etc/luks/boot_os.keyfile
# cryptsetup luksAddKey /dev/sdb1 /etc/luks/boot_os.keyfile
Enter any existing passphrase:
Full_Disk_Encryption_Howto_2019 - Community Help Wiki に記載されているコマンドでは
# echo "LUKS_BOOT UUID=$(blkid -s UUID -o value ${DEVP}1) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab
によって,SSDのTrimオプションが有効になってしまっている.しかし,Trimを有効にすることはセキュリティ上の問題が発生するようである.参考→ソリッドステートドライブ - ArchWiki
よってTrimはOffにする.
# echo "[NAME] UUID=$(blkid -s UUID -o value /dev/sdb1) /etc/luks/boot_os.keyfile luks" >> /etc/crypttab
[NAME]
は重複しない任意の文字列に置き換える.
fstab
に設定を書く.参考→dm-crypt/システム設定 - ArchWiki
# nano /etc/fstab
/dev/mapper/[name] /mnt/[mount point]/ ext4 defaults,errors=remount-ro 0 2