Di ubuntu, dimungkinkan untuk menggunakan kunci turunan dari root sebagai kunci tambahan pada sistem berkas lain. Ini memiliki manfaat menjaga kunci Anda untuk drive lain dari sistem file itu sendiri.
Sebelum melakukan ini, pertama-tama, pastikan / tmp hanya dipasang pada ram! Saya menyarankan mode pengguna tunggal untuk perubahan ini.
mount -t ramfs none /tmp
Kemudian, Anda dapat mengekspor kunci turunan:
# replace vda5_crypt with the cryptsetup name of your root luks
# have a look in /dev/mapper or 'pvdisplay' to find it...
/lib/cryptsetup/scripts/decrypt_derived vda5_crypt > /tmp/key
Dan kemudian menambahkannya ke perangkat Anda yang lain:
# use your own disks here instead of sdb1 sdc1 sdd1 etc
cryptsetup luksAddKey /dev/sdb1 /tmp/key
cryptsetup luksAddKey /dev/sdc1 /tmp/key
cryptsetup luksAddKey /dev/sdd1 /tmp/key
rm /tmp/key
Ini akan memungkinkan skrip init ubuntu menggunakan kunci turunan setelah root tidak dikunci untuk membuka kunci sisa perangkat blok dan membuatnya tersedia dengan cara yang sama di bawah / dev / mapper. Saya tidak yakin apakah mereka memerlukan entri / etc / crypttab - coba tanpa terlebih dahulu, dan jika tidak muncul, masukkan ke dalam crypttab tanpa kunci dan harus membuka kuncinya.
(Saya belum menguji semua ini.)