# dmcrypt - aut. montowanie kilku partycji z jednego hasła?

## nUmer_inaczej

Witam.

Ponieważ słabo znam język angielski zdecydowałem się tymczasem szyfrować /home oraz /media (dane) a tymczasem pominąć system.

Załóżmy więc, że posiadam dwie partycje, które szyfruję tym samym sposobem (LUKS1: aes-xts-plain64) i nadam jedne identyczne hasło dla dwu wspomnianych partycji. 

Czy jest możliwość takiego automatycznego przez fstab montowania tych systemów plików, ażeby tylko raz wpisywać hasło?

Pozdrawiam

----------

## SlashBeast

Dosc popularne jest zaszyforwanie jednej partycji i na niej trzymanie klucza do drugiej, nawet chyba openrc ma initscript do tego.. Alternatywnie mozna by zaszyfrowac lvm i na nim robic juz volumeny, ktore maja szyfrowany PV.

----------

## nUmer_inaczej

Dzięki. Zdecydowałem się właśnie na pierwszą opcję.

Pojawił się jednak kolejny problem, który dotyczy również szyfrowanej partycji a ściślej pendriva i przywracania backupu.

Napiszę kolejno jakie kroki wykonuję:

1. zakładam na pendrivie cfdiskiem partycję: cfdisk /dev/sdc

2. szyfruję partycję na pendrivie: cryptsetup luksFormat /dev/sdc1 -s 512

3. otwieram zaszyfrowaną partycję: cryptsetup luksOpen /dev/sdc1 pendrive

4. formatuję pendriva: mkfs.ext4 -j /dev/mapper/pendrive

5. montuję zaszyfrowanego pendriva: mount /dev/mapper/pendrive /mnt/pendrive

6. kopiuję dowolne dane na pendriva - przemontowywuję - i są na miejscu, hasło działa.

7. wykonuję backup zaszyfrowanego pendriva poleceniem: cryptsetup luksHeaderBackup /dev/sdc1 --header-backup-file /home/numer/pendrive.img

8. odmontowywuję pendriva, symulując pad systemu plików usuwam partycję, zakładam ponowni i formatuję (próbowałem w ext2 i ext4 - efekt końcowy zawsze taki sam)

9. przywracam backup: cryptsetup luksHeaderRestore /dev/sdc1 --header-backup-file /home/numer/pendrive.img

10.otwieram zaszyfrowaną partycję: cryptsetup luksOpen /dev/sdc1 pendrive - pyta o hasło i wszystko jest ok

11.montuję zaszyfrowanego pendriva: mount /dev/mapper/pendrive /mnt/pendrive - i UWAGA: otrzymuję poniższy błąd:

```

mount: /dev/mapper/pendrive jest zabezpieczone przed zapisem, montowanie tylko do odczytu

NTFS signature is missing.

Failed to mount '/dev/mapper/pendrive': Zły argument

The device '/dev/mapper/pendrive' doesn't seem to have a valid NTFS.

Maybe the wrong device is used? Or the whole disk instead of a

partition (e.g. /dev/sda, not /dev/sda1)? Or the other way around?

```

Na podstawie tego błędu nadal z niepowodzeniem próbuję zamontować w trybie tylko do odczytu.

Rozwiązanie tego problemu jest dla mnie kluczowe, bo nieco zabawnym byłoby trzymanie backupu niezaszyfrowanego a szyfrowanie systemu plików. Oczywiście nie potrzebuję raczej aż takich zabezpieczeń - próbuję to rozgryźć tak dla porządku.

Tak przy okazji się zapytam - co by było, gdybym próbował zmienić system plików w padniętym systemi, dajmy na to z ext4 na przykładowy jfs? - rozumiem, że skoro szyfrowanie jest niezależne od systemu plików to nie powinno być problemów?

UPDATE: dodam, że przeprowadzałem backup po raz drugi z opcją -v i tak też przywracałem - otrzymywałem krótki komunikat o powodzeniu operacji i nadal efekt końcowy taki sam.

PROBLEM rozwiązany - backup należy przeprowadzać na odmontowanym systemie plików.

UPDATE2: Problemem w zrobieniu backupu było to, że wykonywał mi tylko backup obszaru keyslotu. Co sprawdziłem, - ażeby można było podmontować taką partycję, z odtworzonym nagłówkiem w trybie zapisu luksHeaderBackup musiałem zrobić w na odmontowanej partycji.

Ostatecznie z powodzeniem zaszyfrowałem dysk metodą luks+lvm, natomiast backup wykonuję własnym skryptem "rusznikarz" i składam na osobnym dysku (równie zaszyfrowanej luksem partycji).

----------

