是否可以用密钥文件而不是密码加密硬盘？

Question

研究硬盘加密。解决方案似乎是使用密码的LUKS的dm。我使用安装在磁盘池中的多个独立硬盘进行读取。在这种情况下，我必须多次输入密码。

我是否有办法用密钥文件加密硬盘，或者把它放在USB驱动器上，并在必要时插入它？？

Answer 1

可以简单地将luks密码存储在一个文件中。

我在我的家用计算机上使用这个；根文件系统生活在一个普通的luks卷上，我在引导时用密码解锁它。另一个驱动器包含一个带有生成密码的luks卷。

此附加卷由位于加密根文件系统上的密码文件解锁。如果根文件系统被解锁，则在引导期间自动解锁。

我的/etc/crypttab看起来是这样的：

crypt-root UUID=c5a2cf25-0aae-457e-874f-fca7ea3d5742 none luks
crypt-data UUID=96d79323-246d-49e0-9149-ec3a4cfc1c1e /etc/crypt-data.key luks

第三个字段是keyfile，根文件系统的none，数据文件系统的/etc/crypt-data.key。/etc/crypt-data.key包含luks密码：

Tm90IHJlYWxseSBteSBwYXNzd29yZC4K

注意，换行符或任何其他空白将作为密码的一部分！请注意生成此文件而不尾随换行符。此外，确保它具有严格的权限：

-rw------- 1 root root 59 Sep 14 23:57 /etc/crypt-data.key

您应该能够将此方法复制到多个卷中(您可以选择不同的密码或一个共享密码)。