在加密的LVM中存储密钥文件

Question

我正在使用RHEL6.5，我想加密一些逻辑卷(LVM)。为了不必多次输入密码，我希望将密钥文件存储在加密的LV中。

示例：

在引导过程中，/var/xxx将被加密，密码将被询问。

/var/xxx/yyy将被加密，密钥文件将在/var/xxx/keyfile下(以获得更多的安全性)。

这样，密码只能输入一次。

我的crypttab：

LogVolXxx          /dev/vg/LogVolXxx         none
LogVolXxxYyy       /dev/vg/LogVolXxxYyy      /var/xxx/keyfile  luks

我的fstab：

[...]
/dev/mapper/vg-LogVolAaa      /Aaa           ext4    noatime        1 2
/dev/mapper/LogVolXxx         /var/Xxx       ext4    noatime        1 2
/dev/mapper/LogVolXxxYyy      /var/Xxx/Yyy   ext4    noatime        1 2
[...]

启动过程中出现问题，找不到密钥文件。我想系统正在尝试在安装之前对设备进行解密。

我该怎么处理呢？

Answer 1

最后，我遵循了“frostschutz”的建议。我用了一个加密的LV作为密钥！

1. lvcreate -L 4M -n LogVolKey vg
2. cryptsetup luksFormat /dev/vg/LogVolKey (在这里我们设置了全局密码)
3. cryptsetup luksOpen /dev/vg/LogVolKey LogVolKeyDecrypted
4. dd if=/dev/urandom of=/dev/mapper/LogVolKeyDecrypted
5. cryptsetup luksFormat /dev/vg/LogVolXxx (这里我们设置相同的密码)
6. cryptsetup luksAddKey /dev/vg/LogVolXxx /dev/mapper/LogVolKeyDecrypted
7. cryptsetup luksOpen /dev/vg/LogVolXxx LogVolXxxDecrypted -d /dev/mapper/LogVolKeyDecrypted
8. dd if=/dev/urandom of=/dev/mapper/LogVolXxxDecrypted
9. mkfs.ext4 /dev/mapper/LogVolXxxDecrypted

注意:在引导过程中会出现一条警告消息：INSECURE MODE FOR /dev/mapper/LogVolKey。如果组与"root“不同，则显示此消息--在这种情况下，组是”磁盘“，默认情况下，任何用户都不应该在这个组中，因此没有任何不安全的信息。

注2:出现第二条消息："Warning: exhausting read requested, but key file is not a regular file, function might never return.。事实上，解锁设备需要一些时间，但不需要太多时间。