[ubuntu-jp:4293] Re: Ubuntu ServerをLVMで暗号化してインストールした時の件について

[稲葉伸之]

ありがとうございます。
勉強になりました。
http://askubuntu.com/questions/59487/how-to-configure-lvm-to-autodecrypt-partition
に書いてあることが役に立ちました。

2012年12月19日 20:01 Kazuhiro NISHIYAMA <zn ＠ mbf.nifty.com>:
> 西山和広です。
>
> At Wed, 12 Dec 2012 15:38:06 +0900,
> 稲葉伸之 wrote:
>>
>> Ubuntu12.04 サーバ　を使わせてもらっています。
>> 今まで、使っていませんでしたが、インストール時にLVMで暗号化してインストールしてみました。
>> そこで、Passphraseを聞かれ設定しました。
>
> インストール時にLVMで暗号化を選んだということで、 /boot は暗号化されていないと思いますが、
> その構成だと仮定しておきます。
>
>> なにかと、セキュリティ上、利点があると思ってやって見ました。
>> インストールが終わって起動させると、
>> 起動のある時点で、そのPassphraseを入れなくては先に進まないようですね。
>
> initramfs の中で
> /usr/share/initramfs-tools/scripts/local-top/cryptroot
> (のコピー) が実行されるタイミングのようです。
>
>> 自分としては、リモートで使うつもりなので、すんなりと起動してもらいたいのですが、
>> Passphraseを入力するところをFileを読ませるとかなにか、自動で起動できるようにしたいのですが、
>> なにかうまい方法をごぞんないでしょうか？
>>
>> 全体を暗号化するそして、そのまま、起動できるとほんとに助かるのですが。
>
> /usr/share/doc/cryptsetup/README.initramfs.gz とか
> http://askubuntu.com/questions/59487/how-to-configure-lvm-to-autodecrypt-partition
> とかを参考にしてみてください。
>
> 手順としては
>
> 1. 鍵ファイル作成 (パーミッションなどに注意)
> 2. luksAddKey
> 3. /etc/crypttab で設定
> 4. update-initramfs で initramfs に反映
>
> となります。
>
>
> /etc/crypttab の例としては
>
> vda5_crypt UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx /dev/disk/by-uuid/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:/vda5_crypt.key luks,keyscript=/lib/cryptsetup/scripts/passdev
>
> のようになります。
> この例では xxx... が vda5 の UUID で yyy... が vda1 の UUID になっていて、
> vda1 が /boot にマウントされていて、鍵ファイルは /boot/vda5_crypt.key に
> おいています。
>
>
> 今のサーバーはこういう設定でパスフレーズの入力部分は自動化できたのに、
> grub2 のメニューの方が自動で進まないことがあって困っていますが、
> サーバーなのでいろいろ変更して試すことも出来ず、解決できていません...。
>
>
> --
> |ZnZ(ゼット エヌ ゼット)
> |西山和広(Kazuhiro NISHIYAMA)
>