标签: disk-encryption

我正在使用带有 luks 加密根分区的 CentOS 7。通常我必须在启动时输入我的密码，但有时系统不接受它。它的反应是错误的，但事实并非如此。我没有改变键盘布局（也许它自己改变了。我该如何检查？）

这是一个已知的错误？

我使用使用 LVM 的全盘加密。它像这样使用lsblk：

NAME                                          MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                                             8:0    0 465,8G  0 disk  
??sda1                                          8:1    0   200M  0 part  /boot/efi
??sda2                                          8:2    0   500M  0 part  /boot
??sda3                                          8:3    0 465,1G  0 part  
  ??luks-3f530000-b2c3-4ba3-9e85-1a96494cc25d 253:0    0 465,1G  0 crypt 
    ??fedora_martin--friese-root              253:1    0    50G  0 lvm   /
    ??fedora_martin--friese-swap              253:2    0   7,8G  0 lvm   [SWAP]
    ??fedora_martin--friese-home              253:3    0 407,3G  0 lvm   /home

我在 Ubuntu 上也有几个非 LTE 版本的相同设置。在第一次安装时，它在 Ubuntu（比如 14.10）和现在的 Fedora 22 上都运行良好。当我升级 Ubuntu 时，我偶尔会遇到问题（我会说是 15.04 左右）。在 Fedora …

问题： 我今天早些时候更改了密码，但我一定是打错了，因为之后我无法登录。我启动到 Grub 菜单并启动了一个无密码的 root shell 来重置我的密码。这很成功，因为我现在可以输入新密码并通过登录屏幕。但是，一旦我这样做，我就会收到一条错误消息：

Your session only lasted less than 10 seconds. If you have not logged out yourself, this could mean there is some installation problem, or that you may be out of diskspace. Try logging in with one of the failsafe sessions to see if you can fix this problem.

syndaemon: no process found
/etc/mdm/Xsession: Beginning session setup...
localuser:[username] being added to access control list
Can't create dir /home/[username]/Desktop
Can't create dir /home/[username]/Downloads
Can't create …

所以我试图获得一个完全加密的启动分区。我正在运行 Funtoo，但主要是从 Arch wiki 中获取帮助。

所以我决定做一些疯狂/有争议的事情：不是单独的引导/根分区。我的设置看起来像这样：

/dev/nvme0n1p1  - EFI parition
/dev/nvme0n1p2  - Swap
/dev/nvme0n1p3  - Encrypted /

在我的/etc/default/grub我有以下内容：

GRUB_ENABLE_CRYPTODISK=y
GRUB_PRELOAD_MODULES="luks cryptodisk"
GRUB_CMDLINE_LINUX="luks enc_root=/dev/nvme0n1p3 root=/dev/mapper/enc_root"

所有的 linux 参数都是为了Better-initramfs。我在 ramdisk 中包含了文件系统的密钥，因此它不会提示我两次输入密码。

我使用以下方法安装了 Grub：

grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id="Funtoo Linux [GRUB]" --recheck --boot-directory=/boot/efi/EFI

因此，在当前状态下，我收到 Grub 救援提示。它找不到它的配置文件（它在加密的引导/根磁盘上）。所以我运行以下命令：

insmod luks
cryptomount (hd1,gpt3)
set root=(crypto0)
configfile (crypto)/boot/grub/grub.cfg

..我有一个完全启动/工作的系统！:)

所以我的问题是：如何配置 Grub EFI 加载程序以尝试自动将加密分区加载到(crypt0)并读取其配置文件？

注意：Grub 将磁盘识别为(hd1,gpt3)最有可能的原因是我的 USB 记忆棒仍然插入。(hd0,gpt3)如果我拔下它并重新启动，它应该更改为。

有什么方法可以让您的磁盘/分区/文件加密（在 Linux 中或作为硬件加密；这里没有 Windows）以这样的方式在 3 次解锁尝试失败后将自身锁定 10 分钟？...

这个想法是在不牺牲安全性的情况下记住一个更短的密码。

在禁用 LUKS 加密的愚蠢尝试中，我已经完成了

cryptsetup luksRemoveKey

到我唯一的钥匙。所以现在每次我尝试启动我的 Fedora-21 时，它都会要求输入密码，但显然无法识别它，并说

Reached target System Initialization
Reached target Basic System

就是这样。有没有办法从中恢复或者我必须重新格式化我的硬盘？

cryptsetup luksAddKey

在这种情况下似乎不起作用。

今天我在外部硬盘驱动器上安装 ubuntu，在初始设置中我标记了“加密安装”选项并单击了安装按钮，但我没有注意到我的内部硬盘驱动器（其中有 Windows 10）是已选择。

当我点击安装时，出现一个弹出窗口，说 3 个分区将被删除，所以在那一刻我注意到我选择了错误的驱动器，我取消了安装，返回，选择正确的驱动器，然后继续安装（这次我禁用了加密选项）。

到目前为止，ubuntu 运行得很好，但是当我无法从 Windows 启动时，我意识到我加密了整个驱动器！

我需要拿回文件，我不知道下一步该怎么做！请帮助，我读到我需要进行备份，但我什至不知道如何访问驱动器。我们欢迎任何意见或建议。

我给自己买了一个新硬盘并安装了最新版本的 Linux Mint。现在我想从旧磁盘传输文件（我最近没有备份）但是有几个问题

• LVM 的名称mint-vg与我的新内部系统和外部驱动器的名称冲突（Linux Mint 使用该名称）
• 磁盘本身是加密的
• 我的/home也是加密的
• 新驱动器也被加密

如何恢复我的数据？

当您luksDump在 LUKS 设备上运行时，我得到以下信息：

$ sudo cryptsetup luksDump /dev/sda1 
LUKS header information
Version:        2
Epoch:          3
Metadata area:  16384 [bytes]
Keyslots area:  16744448 [bytes]
UUID:           4640c6e4-[…]
Label:          (no label)
Subsystem:      (no subsystem)
Flags:          (no flags)
[…]

我很清楚“版本”指的是什么（当前最好的是 v2，所以这就是你的目标），我已经看到了Epoch3 到 5 的值。

然而，究竟Epoch指的是什么？我应该瞄准什么价值？那里声明的数字是否重要（安全方面）？如果它仍然是 Epoch 3 是不是很糟糕，例如？可以升级那个时代吗？

我已经在网络和常见问题解答中搜索信息，但epoch那里没有提到这个词。

我目前知道两种将 LUKS 加密根分区绑定到 TPM2 的最新方法：systemd-cryptenroll和clevis. 在成功检查密钥密封的 PCR 后，他们似乎都释放了加密密钥。

但我不喜欢在没有用户交互的情况下解密卷的想法。我宁愿有一个类似于 BitLocker for Windows 提供的解决方案：TPM 和额外的 PIN 或恢复密钥。

尽管我在网上进行了详尽的搜索，但我无法找到这方面的任何提示。有人知道解决方案吗？

编辑：有一个--recovery-key选项systemd-cryptenroll。我只关心如何在使用 TPM 时获得额外的 PIN 要求的问题。