7.2. Montering av krypterade volymer

Om du skapade krypterade volymer under installationen och tilldelade monteringspunkter till dem, kommer du att bli efterfrågad vid uppstart om att ange lösenfrasen för varje av dessa volymer. Det faktiska proceduren för detta skiljer sig markant mellan dm-crypt och loop-AES.

7.2.1. dm-crypt

För partitioner som är krypterade med dm-crypt kommer följande prompt att visas under uppstarten:

Starting early crypto disks... del_crypt(starting)
Enter LUKS passphrase:

På första raden av prompten är del namnet på underliggande partition, t.ex. sda2 eller md0. Du undrar kanske nu för vilken volym du faktiskt anger lösenfrasen. Relaterar det till /home? Eller till /var? Om du bara skapade en krypterad volym är detta enkelt och du behöver bara ange lösenfrasen som du angav för den volymen. Om du har skapat fler än en krypterad volym under installationen kan anteckningarna du skrev ner i sista steget i Avsnitt 6.3.2.5, ”Konfigurera krypterade volymer” komma till hands. Om du inte antecknade relationerna mellan cryptX och monteringspunkterna kan du fortfarande hitta dem i /etc/crypttab och /etc/fstab på ditt nya system.

Prompten kan se annorlunda ut när ett krypterat rotfilsystem monteras. Detta beror på vilken initramfs-generator som användes för att generera den initrd som används för att starta upp systemet. Exemplet nedan är för en initrd som genererats med initramfs-tools:

Begin: Mounting root file system... ...
Begin: Running /scripts/local-top ...
Enter LUKS passphrase:

Inga tecken (inte ens stjärnor) kommer att visas när lösenfrasen matas in. Om du matar in fel lösenfras har du ytterligare två försök till att mata in den korrekta lösenfrasen. Efter det tredje försöket kommer uppstartsprocessen att hoppa över denna volym och fortsätta montera nästa filsystem. Se Avsnitt 7.2.3, ”Problemlösning” för ytterligare information.

Efter att alla lösenfraser har matats in ska uppstarten fortsätta som normalt.

7.2.2. loop-AES

För partitioner som krypterats med loop-AES kommer följande prompt att visas under uppstart:

Checking loop-encrypted file systems.
Setting up /dev/loopX (/monteringspunkt)
Password:

Inga tecken (inte ens stjärnor) kommer att visas när lösenfrasen matas in. Om du matar in fel lösenfras har du ytterligare två försök till att mata in den korrekta lösenfrasen. Efter det tredje försöket kommer uppstartsprocessen att hoppa över denna volym och fortsätta montera nästa filsystem. Se Avsnitt 7.2.3, ”Problemlösning” för ytterligare information.

Efter att alla lösenfraser har matats in ska uppstarten fortsätta som normalt.

7.2.3. Problemlösning

Om någon av de krypterade volymerna inte kunde monteras på grund av att en felaktig lösenfras matades in, kan du montera dem manuellt efter uppstart. Det finns ett flertal olika situationer.

  • Det första fallet gäller rotpartitionen. När den inte har monterats korrekt kommer uppstartsprocessen att stanna och du måste då starta om datorn och försöka igen.

  • Betydligt enklare är det med krypterade volymer som endast innehåller data, exempelvis /home eller /srv. Du kan helt enkelt montera dem manuellt efter uppstarten. För loop-AES är detta en enstegsoperation:

    # mount /monteringspunkt
    Password:
    

    där /monteringspunkt ersätts med den specifika katalogen (t.ex. /home). Den enda skillnaden från en vanlig montering är att du kommer att bli tillfrågad om att ange lösenfrasen för denna volym.

    För dm-crypt är detta lite svårare. Först behöver du registrera volymerna med device mapper genom att köra:

    # /etc/init.d/cryptdisks start
    

    Detta kommer att söka av alla volymer som angivits i /etc/crypttab och skapa lämpliga enheter under katalogen /dev efter att de korrekta lösenfraserna har angivits. (Redan registrerade volymer kommer att hoppas över så att du kan upprepa detta kommando flera gånger utan att vara orolig.) Efter en lyckad registrering kan du helt enkelt montera volymerna på vanligt sätt:

    # mount /monteringspunkt
    

  • Om någon volym som innehåller ickekritiska systemfiler inte kan monteras (/usr eller /var), ska systemet fortfarande kunna starta upp och du bör kunna montera volymerna manuellt precis som i föregående situation. Dock behöver du även starta (om) de tjänster som normalt kör i din standardkörnivå på grund av att det är mycket sannolikt att de inte startades. Det enklaste sättet att genomföra detta är att växla till den första körnivån och sedan tillbaka genom att köra

    # init 1
    

    vid skalprompten och trycka Control+D när rootlösenordet efterfrågas.