Hasla Do Woluminow Szyfrowanych

[fafig]

nie wiem czy ktos zauwazyl, ale upgradujac do jakiegokolwiek nowszego kernela czy to z testing czy z rawhide, zmienilo sie zachowanie skryptu startowego odnosnie wpisywania hasel do woluminow szyfrowanych. do tej pory majac zaszyfrowane 4 woluminy tym samym haslem, wpisywalem je raz - na nowszych wpisuje 4x - podobnie jest w suse linux. przejrzalem skrypty init w obu wersjach kernela i zauwazylem ze w nowych jest 2x wpisane --ask-for-password dla plymouth'a. czy poza manualnym zmodyfikowaniem tych plikow jest jakies rozwiazanie automatczne, aka "tajemny parametr". wlasciwie to mozna sobie skrypt napisac co mi to modyfikuje, no ale do tej pory dzialalo dobrze. ciekawe czy to bug czy "feature".

 

stary init

 

..........

modprobe scsi_wait_scan
rmmod scsi_wait_scan
mkblkdevs
setDeviceEnv LUKSUUID UUID=d3a2d789-8e3b-4a2f-bcc5-b38679b8af72
echo Setting up disk encryption: $LUKSUUID
buildEnv LUKSUUID cryptsetup luksOpen $LUKSUUID root
plymouth ask-for-password --command $LUKSUUID
resume /dev/mapper/swap
echo Creating root device.
mkrootdev -t ext4 -o defaults,noatime,acl,user_xattr,ro /dev/mapper/root
echo Mounting root filesystem.
mount /sysroot
cond -ne 0 plymouth --hide-splash
echo Setting up other filesystems.

...........

 

 

now init

 

..............

modprobe scsi_wait_scan
rmmod scsi_wait_scan
mkblkdevs
setDeviceEnv LUKSUUID UUID=d3a2d789-8e3b-4a2f-bcc5-b38679b8af72
echo Setting up disk encryption: $LUKSUUID
buildEnv LUKSUUID cryptsetup luksOpen $LUKSUUID root
plymouth ask-for-password --command $LUKSUUID
setDeviceEnv LUKSUUID UUID=6e0707fc-9c87-4a1e-af21-45f5907cda42
echo Setting up disk encryption: $LUKSUUID
buildEnv LUKSUUID cryptsetup luksOpen $LUKSUUID swap
plymouth ask-for-password --command $LUKSUUID
resume /dev/mapper/swap
echo Creating root device.
mkrootdev -t ext4 -o defaults,noatime,acl,user_xattr,ro /dev/mapper/root
echo Mounting root filesystem.
mount /sysroot
cond -ne 0 plymouth --hide-splash

..........

 

 

wszelkie sugestie mile widziane. z nowszych zmian to w kernelu 31 dolozyli wczytywanie klucza z urzadzenia zewnetrznego jako parametr kernela, ale w 29 tego nie bylo jeszcze.

 

edit:

 

 

no dobra znalazlem rozwiazanie (dla paranoikow )

 

wystarczy po prostu odmontowac swapa i odlaczyc urzadzenie od dev-mappera. potem juz tylko initrd zostaje. wyskoczy blad ze urzadzenie swapa nie jest blokowe ale nam o to chodzi wiec sie nie przejmujemy. mala uwaga - to jest rozwiazanie dla swapa szyfrowanego losowym haslem, tak wiec komus moze odpowiadac wpisywanie hasla do swapa przy starcie przy ustawionym normalnym hasle:)

 

swapoff -a
cryptosetup luksClose swap
/sbin/mkinitrd /boot/initrd-$(uname -r).img $(uname -r) -f

 

potem reset i voila. cale szczescie deweloperzy przewidzieli mozliwosc ustawiania losowych hasel. rowniez seed dla /dev/urandom jest przechowywany na dysku i odtwarzany przy starcie dla wygenerowania wiekszej entropii. polecam lekture pliku /etc/rc.sysinit