「Dm-crypt/特記事項」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(同期)
6行目: 6行目:
   
 
==暗号化されていない boot パーティションのセキュア化==
 
==暗号化されていない boot パーティションのセキュア化==
  +
{{warning|systemd バージョン 230 から cryptsetup のジェネレータは crypto キーファイルの RequiresMountsFor を省きます。そのため、ファイルが含まれているファイルシステムをアンマウントすると、cryptsetup サービスも停止します。ファイルシステムと cryptokey が必要になるのは crypto コンテナを初期設定するときだけなので、この挙動は間違っています。詳しくは [https://github.com/systemd/systemd/issues/3816] を参照。}}
  +
 
たとえ [[Dm-crypt/システム全体の暗号化|root を暗号化]]したとしても、{{ic|/boot}} パーティションと [[Master Boot Record]] はディスクの中で暗号化されてない状態で残ります。この2つを暗号化するのは基本的に不可能です。[[ブートローダー]]と BIOS が dm-crypt コンテナの暗号化を解除してブートプロセスを続行することが出来なくなってしまいます。例外は [[GRUB]] で、LUKS で暗号化した {{ic|/boot}} を復号する機能が存在します。[[GRUB]] を見て下さい。
 
たとえ [[Dm-crypt/システム全体の暗号化|root を暗号化]]したとしても、{{ic|/boot}} パーティションと [[Master Boot Record]] はディスクの中で暗号化されてない状態で残ります。この2つを暗号化するのは基本的に不可能です。[[ブートローダー]]と BIOS が dm-crypt コンテナの暗号化を解除してブートプロセスを続行することが出来なくなってしまいます。例外は [[GRUB]] で、LUKS で暗号化した {{ic|/boot}} を復号する機能が存在します。[[GRUB]] を見て下さい。
   
12行目: 14行目:
 
===リムーバルデバイスから起動===
 
===リムーバルデバイスから起動===
   
  +
別のデバイスを使ってシステムを起動するのはとても簡単で、特定の攻撃に対してセキュリティを高めることができます。[[Dm-crypt/システム全体の暗号化|ルートファイルシステムを暗号化]]したシステムで脆弱ポイントとなりえるのは以下の2つです:
Using a separate device to boot a system is a fairly straightforward procedure, and offers a significant security improvement against some kinds of attacks. Two vulnerable parts of a system employing an [[Dm-crypt/システム全体の暗号化|encrypted root filesystem]] are
 
* the [[Master Boot Record]], and
+
* [[Master Boot Record]]
* the {{ic|/boot}} partition.
+
* {{ic|/boot}} パーティション
  +
システムを起動するには上記をどちらも暗号化されていない状態で保存しなければなりません。改竄から保護する方法として、USB ドライブなどのリムーバルメディアに保存して、ハードディスクの代わりとしてドライブから起動することができます。ドライブを肌身離さず持ち歩いていれば、改竄を加えられる恐れがなくなり、システムを解錠する認証機構をさらにセキュアにすることができます。
These must be stored unencrypted in order for the system to boot. In order to protect these from tampering, it is advisable to store them on a removable medium, such as a USB drive, and boot from that drive instead of the hard disk. As long as you keep the drive with you at all times, you can be certain that those components have not been tampered with, making authentication far more secure when unlocking your system.
 
   
 
既にシステム設定を終えていて専用のパーティションを {{ic|/boot}} にマウントしていることが前提です。まだ設定していない場合、[[dm-crypt/システム設定#ブートローダー]]の手順に従ってください。リムーバルメディアはハードディスクで置き換えて下さい。
 
既にシステム設定を終えていて専用のパーティションを {{ic|/boot}} にマウントしていることが前提です。まだ設定していない場合、[[dm-crypt/システム設定#ブートローダー]]の手順に従ってください。リムーバルメディアはハードディスクで置き換えて下さい。
 
{{Note|You must make sure your system supports booting from the chosen medium, be it a USB drive, an external hard drive, an SD card, or anything else.}}
 
{{Note|You must make sure your system supports booting from the chosen medium, be it a USB drive, an external hard drive, an SD card, or anything else.}}
Prepare the removable drive ({{ic|/dev/sdx}}).
+
リムーバルドライブ ({{ic|/dev/sdx}}) を準備:
 
# gdisk /dev/sdx #format if necessary. Alternatively, cgdisk, fdisk, cfdisk, gparted...
 
# gdisk /dev/sdx #format if necessary. Alternatively, cgdisk, fdisk, cfdisk, gparted...
 
# mkfs.ext2 /dev/sdx1
 
# mkfs.ext2 /dev/sdx1
 
# mount /dev/sdx1 /mnt
 
# mount /dev/sdx1 /mnt
Copy your existing {{ic|/boot}} contents to the new one.
+
既存の {{ic|/boot}} の中身をコピー:
 
# cp -R -i -d /boot/* /mnt
 
# cp -R -i -d /boot/* /mnt
  +
新しいパーティションをマウントして [[fstab]] ファイルを更新:
Mount the new partition. Do not forget to update your [[fstab]] file accordingly.
 
 
# umount /boot
 
# umount /boot
 
# umount /mnt
 
# umount /mnt
 
# mount /dev/sdx1 /boot
 
# mount /dev/sdx1 /boot
 
# genfstab -p -U / > /etc/fstab
 
# genfstab -p -U / > /etc/fstab
  +
その後 [[GRUB]] を更新してください。{{ic|grub-mkconfig}} は自動的に新しいパーティションの UUID を認識するはずですが、カスタムメニューエントリは手動で更新する必要があるかもしれません。
Update [[GRUB]]. {{ic|grub-mkconfig}} should detect the new partition UUID automatically, but custom menu entries may need to be updated manually.
 
 
# grub-mkconfig -o /boot/grub/grub.cfg
 
# grub-mkconfig -o /boot/grub/grub.cfg
 
# grub-install /dev/sdx #install to the removable device, not the hard disk.
 
# grub-install /dev/sdx #install to the removable device, not the hard disk.
  +
再起動して新しい設定をテストしてください。忘れずに [[BIOS]] や [[UEFI]] でデバイスのブート順序を設定してください。システムが起動しない場合、ハードドライブから起動することで問題を修正することができます。
Reboot and test the new configuration. Remember to set your device boot order accordingly in your [[BIOS]] or [[UEFI]]. If the system fails to boot, you should still be able to boot from the hard drive in order to correct the problem.
 
   
 
===chkboot===
 
===chkboot===
56行目: 58行目:
 
There is a small caveat for systemd: At the time of writing, the original {{ic|chkboot.sh}} script provided contains an empty space at the beginning of {{ic|<u> </u>#!/bin/bash}} which has to be removed for the service to start successfully.
 
There is a small caveat for systemd: At the time of writing, the original {{ic|chkboot.sh}} script provided contains an empty space at the beginning of {{ic|<u> </u>#!/bin/bash}} which has to be removed for the service to start successfully.
   
As {{ic|/usr/local/bin/chkboot_user.sh}} need to be excuted after login, add it to the autostart (e.g. under KDE -> ''System Settings -> Startup and Shutdown -> Autostart''; GNOME 3: ''gnome-session-properties'').
+
{{ic|/usr/local/bin/chkboot_user.sh}} はログイン後すぐに実行する必要があるため、[[自動起動]]するように設定してください (例: KDE の場合 -> ''System Settings -> Startup and Shutdown -> Autostart''; GNOME 3: ''gnome-session-properties'')
   
 
With Arch Linux, changes to {{ic|/boot}} are pretty frequent, for example by new kernels rolling-in. Therefore it may be helpful to use the scripts with every full system update. One way to do so:
 
With Arch Linux, changes to {{ic|/boot}} are pretty frequent, for example by new kernels rolling-in. Therefore it may be helpful to use the scripts with every full system update. One way to do so:
77行目: 79行目:
   
 
=== mkinitcpio-chkcryptoboot ===
 
=== mkinitcpio-chkcryptoboot ===
  +
{{Warning|このフックは [[GRUB]] のコアコード (MBR) や EFI スタブは暗号化しません。攻撃者がブートローダーの設定を変更してカーネルや initramfs を実行時に改竄できる状態からは保護されません。}}
{{Warning|This hook does '''not''' encrypt [[GRUB]]'s core (MBR) code or EFI stub, nor does it protect against situations where an attacker is able to modify the behaviour of the bootloader to compromise the kernel and/or initramfs at run-time.}}
 
 
{{aur|mkinitcpio-chkcryptoboot}} は初期ユーザー空間で整合性チェックを行ってシステムのセキュリティが破られている場合に root パーティションのパスワードを入力しないようにユーザーに忠告する [[mkinitcpio]] フックです。[[Dm-crypt/システム全体の暗号化|ブートパーティションを暗号化]]することでセキュリティを確保し、[[GRUB]] の {{ic|cryptodisk.mod}} モジュールでロックを解除します。root ファイルシステムのパーティションは別のパスワードを使って暗号化します。これなら、オフラインの改竄からも [[initramfs]] や[[カーネル]]を守ることができ、たとえマシンに侵入されて {{ic|/boot}} パーティションのパスワードが入力されても root パーティションは安全です (chkcryptoboot フックが改竄を検出して、フック自体が改竄されていない場合)。
 
{{aur|mkinitcpio-chkcryptoboot}} は初期ユーザー空間で整合性チェックを行ってシステムのセキュリティが破られている場合に root パーティションのパスワードを入力しないようにユーザーに忠告する [[mkinitcpio]] フックです。[[Dm-crypt/システム全体の暗号化|ブートパーティションを暗号化]]することでセキュリティを確保し、[[GRUB]] の {{ic|cryptodisk.mod}} モジュールでロックを解除します。root ファイルシステムのパーティションは別のパスワードを使って暗号化します。これなら、オフラインの改竄からも [[initramfs]] や[[カーネル]]を守ることができ、たとえマシンに侵入されて {{ic|/boot}} パーティションのパスワードが入力されても root パーティションは安全です (chkcryptoboot フックが改竄を検出して、フック自体が改竄されていない場合)。
   
This hook requires {{pkg|GRUB}} release >=2.00 to function, and a dedicated, LUKS encrypted {{ic|/boot}} partition with its own password in order to be secure.
+
This hook requires {{Pkg|grub}} release >=2.00 to function, and a dedicated, LUKS encrypted {{ic|/boot}} partition with its own password in order to be secure.
   
 
==== インストール ====
 
==== インストール ====
99行目: 101行目:
 
=== 他の方法 ===
 
=== 他の方法 ===
   
  +
上記のスクリプトの代わりに、[[AIDE]] によるハッシュチェックを設定することもできます。柔軟な設定ファイルでカスタマイズが可能です。
Alternatively to above scripts, a hash check can be set up with [[AIDE]] which can be customized via a very flexible configuration file.
 
   
 
While one of these methods should serve the purpose for most users, they do not address all security problems associated with the unencrypted {{ic|/boot}}. One approach which endeavours to provide a fully authenticated boot chain was published with POTTS as an academic thesis to implement the [http://www1.informatik.uni-erlangen.de/stark STARK] authentication framework.
 
While one of these methods should serve the purpose for most users, they do not address all security problems associated with the unencrypted {{ic|/boot}}. One approach which endeavours to provide a fully authenticated boot chain was published with POTTS as an academic thesis to implement the [http://www1.informatik.uni-erlangen.de/stark STARK] authentication framework.
117行目: 119行目:
   
 
Note that:
 
Note that:
* You can follow the above instructions with only two primary partitions, one boot partition (required because of encryption) and one primary LVM partition. Within the LVM partition you can have as many partitions as you need, but most importantly it should contain at least root, swap, and home logical volume partitions. This has the added benefit of having only one keyfile for all your partitions, and having the ability to hibernate your computer (suspend to disk) where the swap partition is encrypted. If you decide to do so your hooks in {{ic|/etc/mkinitcpio.conf}} should look like this:{{bc|1=HOOKS=" ... usb usbinput (etwo or ssldec) encrypt (if using openssl) lvm2 resume ... "}} and you should add {{bc|1=resume=/dev/mapper/<VolumeGroupName>-<LVNameOfSwap>}} to your [[カーネルパラメータ]].
+
* You can follow the above instructions with only two primary partitions, one boot partition (required because of encryption) and one primary LVM partition. Within the LVM partition you can have as many partitions as you need, but most importantly it should contain at least root, swap, and home logical volume partitions. This has the added benefit of having only one keyfile for all your partitions, and having the ability to hibernate your computer (suspend to disk) where the swap partition is encrypted. If you decide to do so your hooks in {{ic|/etc/mkinitcpio.conf}} should look like this:{{bc|1=HOOKS=" ... usb usbinput (etwo or ssldec) encrypt (if using openssl) lvm2 resume ... "}} そして[[カーネルパラメータ]]に以下を追加してください: {{bc|1=resume=/dev/mapper/<VolumeGroupName>-<LVNameOfSwap>}}
 
* If you need to temporarily store the unencrypted keyfile somewhere, do not store them on an unencrypted disk. Even better make sure to store them to RAM such as {{ic|/dev/shm}}.
 
* If you need to temporarily store the unencrypted keyfile somewhere, do not store them on an unencrypted disk. Even better make sure to store them to RAM such as {{ic|/dev/shm}}.
  +
* GPG で暗号化されたキーファイルを使いたい場合、静的にコンパイルされた GnuPG バージョン 1.4 を使う必要があります。もしくはフックを編集して AUR の {{AUR|gnupg1}} パッケージを使ってください。
* If you want to use a GPG encrypted keyfile, you need to use a statically compiled GnuPG version 1.4 or you could edit the hooks and use this AUR package {{AUR|gnupg1}}
 
 
* It is possible that an update to OpenSSL could break the custom {{ic|ssldec}} mentioned in the second forum post.
 
* It is possible that an update to OpenSSL could break the custom {{ic|ssldec}} mentioned in the second forum post.
   
 
==root などのパーティションのリモート解除==
 
==root などのパーティションのリモート解除==
LUKS によって完全に暗号化されたシステムをリモートで再起動したい場合、もしくは [[Wake-on-LAN]] サービスを使ってシステムを起動したい場合、起動時に root パーティション/ボリュームのパスフレーズを入力する手段が必要になります。initrd で [[mkinitcpio]] の {{ic|net}} フックと [[SSH]] サーバーを実行することでこれを実現可能です。{{AUR|dropbear_initrd_encrypt}} パッケージ[[インストール]]インストール後の指示従っ下さい:
+
LUKS によって完全に暗号化されたシステムをリモートで再起動したい場合、もしくは [[Wake-on-LAN]] サービスを使ってシステムを起動したい場合、起動時にルートパーティション/ボリュームのパスフレーズを入力する手段が必要になります。ネットワークインターフェイスを設定する [[mkinitcpio]] のフックを実行することでこれを実現可能です。以下のパッケージには様々な [[Mkinitcpio#ビドフック|mkinitcpio ビルドフック]]が含まれおり設定を楽くれます。
   
  +
{{Note|
# If you do not have an SSH key pair yet, [[SSH 鍵#SSH 鍵のペアを生成|generate one]] on the client system (the one which will be used to unlock the remote machine).
 
  +
* ネットワークインターフェイスはカーネルによるデバイス名を使用してください (例: {{ic|eth0}})。[[udev]] によるデバイス名 (例: {{ic|enp1s0}}) を使用してはいけません。
# Insert your SSH public key (i.e. the one you usually put onto hosts so that you can ssh in without a password, or the one you just created and which ends with ''.pub'') into the remote machine's {{ic|/etc/dropbear/root_key}} file using the method of your choice, e.g.:
 
  +
* [[ネットワーク設定#デバイスドライバ|使用しているネットワークカードのモジュール]]を [[Mkinitcpio#MODULES|MODULES]] 行に追加する必要が場合があります。}}
#*[[SSH 鍵#リモートサーバーに公開鍵をコピー|リモートサーバーに公開鍵をコピー]]
 
  +
#* then enter the following command (on the remote system): {{bc|# cat /home/<user>/.ssh/authorized_keys > /etc/dropbear/root_key}}{{Tip|This method can later be used to add other SSH public keys as needed; in that case verify the content of remote {{ic|~/.ssh/authorized_keys}} contains only keys you agree to be used to unlock the remote machine. When adding additional keys, also regenerate your initrd with mkinitcpio. See also [[SSH 鍵#セキュリティ]].}}
 
  +
===リモートのロック解除 (フック: systemd, systemd-tool)===
# Add the {{ic|dropbear encryptssh}} [[Mkinitcpio#HOOKS|hooks]] before {{ic|filesystems}} within the "HOOKS" array in {{ic|/etc/mkinitcpio.conf}} (or replace {{ic|encrypt}} with them if it was present). Put the {{ic|net}} hook early in the HOOKS array if your DHCP server takes a long time to lease IP addresses, and in any case place it before the {{ic|dropbear encryptssh}} hooks (between {{ic|modconf}} and {{ic|block}} proves functional). Then [[Mkinitcpio#イメージ作成とアクティベーション|rebuild the initramfs image]].
 
  +
# Configure the required {{ic|1=cryptdevice=}} [[Dm-crypt/システム設定#ブートローダー|parameter]] and add the {{ic|1=ip=}} [[カーネルパラメータ|kernel command parameter]] to your bootloader configuration with the appropriate arguments (see [[Mkinitcpio#net を使う]]). For example, if the DHCP server does not attribute a static IP to your remote system, making it difficult to access via SSH accross reboots, you can explicitly state the IP you want to be used:{{bc|<nowiki>ip=192.168.1.1:::::eth0:none</nowiki>}}{{Note|Make sure to use kernel device names for the interface name (under the form ''eth#'') and not ''udev'' ones, as those will not work.}}そして[[ブートローダー]]の設定を更新してください。例えば [[GRUB#メイン設定ファイルの生成|GRUB]] の場合:{{bc|# grub-mkconfig -o /boot/grub/grub.cfg}}
 
  +
AUR パッケージの {{AUR|mkinitcpio-systemd-tool}} には ''systemd-tool'' という名前の {{Pkg|systemd}} 中心の mkinitcpio フックが含まれており、initramfs の systemd で以下の機能を使うことができるようになります:
# Finally, restart the remote system and try to [[Secure_Shell#サーバーに接続する|ssh to it]], '''explicitly stating the "root" username''' (even if the root account is disabled on the machine, here it is a special "root" user set by ''dropbear'' for the purpose of unlocking the remote system). You may see a warning about host authenticity that you can safely ignore (type ''yes''), then you should be presented with a prompt asking you to enter the passphrase for unlocking the remote root:
 
  +
{{hc|$ ssh '''root'''@192.168.1.1|Enter passphrase for /dev/sda2:
 
  +
{| class="wikitable"
Connection to 192.168.1.1 closed.}}
 
  +
|- style="vertical-align:top;"
  +
| width=50% style="padding:10px;" |
  +
フックによって実現されるコア機能:
  +
* systemd + mkinitcpio の統合設定
  +
* バイナリと設定リソースの自動プロビジョニング
  +
* オンデマンドの mkinitcpio スクリプトとインライン関数の実行
  +
| width=50% style="padding:10px;" |
  +
同梱されているサービスユニットによって実現される機能:
  +
* initrd のデバッグ
  +
* 初期ユーザー空間でのネットワークの設定
  +
* インタラクティブなユーザーシェル
  +
* initrd におけるリモート ssh アクセス
  +
* cryptsetup + カスタムパスワードエージェント
  +
|}
  +
{{AUR|mkinitcpio-systemd-tool}} パッケージは [[Mkinitcpio#通常のフック|systemd フック]]を必要とします。詳しい情報はプロジェクトの [https://github.com/random-archer/mkinitcpio-systemd-tool/blob/master/README.md README] やデフォルトの [https://github.com/random-archer/mkinitcpio-systemd-tool systemd サービスユニットファイル] を見てください。
  +
  +
推奨されるフックは次の通りです: {{ic|base autodetect modconf block filesystems keyboard fsck systemd systemd-tool}}。
  +
  +
===リモートのロック解除 (フック: netconf, dropbear, tinyssh, ppp)===
  +
  +
initcpio のリモートログインを実現するパッケージの別の組み合わせとして {{AUR|mkinitcpio-netconf}} あるいは {{AUR|mkinitcpio-ppp}} (インターネット経由で [[Wikipedia:Point-to-Point Protocol|PPP]] 接続を使ってリモートでロックを解除) と [[SSH]] サーバーを使用する方法があります。SSH サーバーは {{AUR|mkinitcpio-dropbear}} または {{AUR|mkinitcpio-tinyssh}} のどちらを使用するか選択できます。これらのフックはシェルをインストールしないため、{{AUR|mkinitcpio-utils}} パッケージも[[インストール]]する必要があります。以下の手順は上記のパッケージと組み合わせて使うことができます。パスが異なる場合、注意してください。
   
  +
# SSH のキーペアが存在しない場合、クライアント環境で[[SSH 鍵#SSH 鍵のペアを生成|ペアを生成]]してください (リモート環境のロックを解除するのに使用します)。{{AUR|mkinitcpio-tinyssh}} を使用する場合、[[SSH_鍵#暗号化のタイプを選択|Ed25519 鍵]]を使用することができます。
Afterwards, the system will complete its boot process and you can ssh to it [[Secure_Shell#サーバーに接続する|as you normally would]] (with the remote user of your choice).
 
  +
# SSH 公開鍵 (パスワードを使わなくても ssh で接続できるように使用している公開鍵、または、今さっき作成した拡張子が ''.pub'' のファイル) をリモートマシンの {{ic|/etc/dropbear/root_key}} または {{ic|/etc/tinyssh/root_key}} ファイルにコピーしてください。 {{Tip|必要であれば他の SSH 公開鍵を後で追加することもできます。リモートの {{ic|~/.ssh/authorized_keys}} の中身をコピーする場合、リモートマシンのロックを解除するのに使用する鍵だけが含まれていることを確認してください。鍵を追加したら、{{ic|mkinitcpio}} で initrd も再生成する必要があります。[[Secure Shell#SSH の保護]]も参照してください。}}
  +
# {{ic|/etc/mkinitcpio.conf}} の "HOOKS" 行の {{ic|filesystems}} の前に {{ic|<netconf and/or ppp> <dropbear or tinyssh> encryptssh}} [[Mkinitcpio#HOOKS|フック]]を追加してください ({{ic|encryptssh}} で {{ic|encrypt}} フックを置き換えます)。それから [[Mkinitcpio#イメージ作成とアクティベーション|initramfs イメージを再生成]]してください。 {{Note|{{Pkg|mkinitcpio-nfs-utils}} に含まれている {{ic|net}} フックは必要ありません。}}
  +
# ブートローダーの設定に {{ic|1=cryptdevice=}} [[dm-crypt/システム設定#ブートローダー|パラメータ]]を設定して適切な引数を付けた {{ic|1=ip=}} [[カーネルパラメータ|カーネルコマンドパラメータ]]を追加してください。例えば、DHCP サーバーからリモート環境に固定 IP が割り当てられない場合、再起動してから SSH でアクセスするのが難しいため、以下のように使用したい IP を明示的に指定できます:{{bc|<nowiki>ip=192.168.1.1:::::eth0:none</nowiki>}}{{Note|{{AUR|mkinitcpio-netconf}} のバージョン 0.0.4 現在、複数の {{ic|ip<nowiki>=</nowiki>}} パラメータをネストすることで複数のインターフェイスを設定できます。{{ic|ip<nowiki>=</nowiki>dhcp}} ({{ic|ip<nowiki>=</nowiki>:::::eth0:dhcp}}) と混ぜることはできません。インターフェイスを指定する必要があります。}}{{bc|<nowiki>ip=ip=192.168.1.1:::::eth0:none:ip=172.16.1.1:::::eth1:none</nowiki>}}詳しい説明は [[Mkinitcpio#net を使う|mkinitcpio のセクション]]を読んでください。設定が完了したら、[[ブートローダー]]の設定を更新してください。
  +
# Finally, restart the remote system and try to [[Secure_Shell#サーバーに接続する|ssh to it]], '''explicitly stating the "root" username''' (even if the root account is disabled on the machine, this root user is used only in the initrd for the purpose of unlocking the remote system). If you are using the {{AUR|mkinitcpio-dropbear}} package and you also have the {{Pkg|openssh}} package installed, then you most probably will not get any warnings before logging in, because it convert and use the same host keys openssh uses. (Except Ed25519 keys, dropbear does not support them). In case you are using {{AUR|mkinitcpio-tinyssh}}, you have the option of installing {{AUR|tinyssh-convert}} or {{AUR|tinyssh-convert-git}} so you can use the same keys as your {{Pkg|openssh}} installation (currently only Ed25519 keys). In either case, you should have run [[Secure_Shell#sshd デーモンの管理|the ssh daemon]] at least once, using the provided systemd units, so the keys can be generated first. After rebooting the machine, you should be prompted for the passphrase to unlock the root device. Afterwards, the system will complete its boot process and you can ssh to it [[Secure_Shell#サーバーに接続する|as you normally would]] (with the remote user of your choice).
   
 
{{Tip|1=If you would simply like a nice solution to mount other encrypted partitions (such as {{ic|/home}}) remotely, you may want to look at [https://bbs.archlinux.org/viewtopic.php?pid=880484 this forum thread].}}
 
{{Tip|1=If you would simply like a nice solution to mount other encrypted partitions (such as {{ic|/home}}) remotely, you may want to look at [https://bbs.archlinux.org/viewtopic.php?pid=880484 this forum thread].}}
   
=== wifi でリモートのロック解除 ===
+
=== wifi でリモートのロック解除 (フック: 自分で作成) ===
 
The net hook is normally used with an ethernet connection. In case you want to setup a computer with wireless only, and unlock it via wifi, you can create a custom hook to connect to a wifi network before the net hook is run.
 
The net hook is normally used with an ethernet connection. In case you want to setup a computer with wireless only, and unlock it via wifi, you can create a custom hook to connect to a wifi network before the net hook is run.
   
157行目: 184行目:
   
 
==ソリッドステートドライブ (SSD) の Discard/TRIM のサポート==
 
==ソリッドステートドライブ (SSD) の Discard/TRIM のサポート==
  +
[[ソリッドステートドライブ]]を使用している場合、device-mapper はデフォルトでは TRIM コマンドを有効にしないので注意してください。デフォルト設定を上書きしないかぎりブロックデバイスは {{ic|discard}} オプションが無効な状態でマウントされます。
Solid state drive users should be aware that by default, Linux's full-drive encryption mechanisms will ''not'' forward TRIM commands from the filesystem to the underlying drive. The device-mapper maintainers have made it clear that TRIM support will never be enabled by default on dm-crypt devices because of the potential security implications.[http://www.saout.de/pipermail/dm-crypt/2011-September/002019.html][http://www.saout.de/pipermail/dm-crypt/2012-April/002420.html]
 
   
  +
セキュリティ上の問題があるため dm-crypt デバイスで TRIM のサポートがデフォルトで有効になることは永遠にないと device-mapper のメンテナは説明しています [http://www.saout.de/pipermail/dm-crypt/2011-September/002019.html][http://www.saout.de/pipermail/dm-crypt/2012-April/002420.html]。TRIM を有効にすると開放されたブロック情報という形でデータが漏洩する可能性が僅かにあり、そこから使用しているファイルシステムが判別される恐れがあります。TRIM を有効にすることによる問題の議論と説明は ''cryptsetup'' の開発者による [http://asalor.blogspot.de/2011/08/trim-dm-crypt-problems.html ブログ記事] で読むことができます。デバイスが昔 (cryptsetup <1.6.0) のデフォルト暗号である {{ic|--cipher aes-cbc-essiv}} で暗号化されている場合、最新の[[Dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション|デフォルト設定]]を使用している場合よりも TRIM されたセクタから多くの情報が漏洩する危険があります。
Most users will still want to use TRIM on their encrypted SSDs. Minimal data leakage in the form of freed block information, perhaps sufficient to determine the filesystem in use, may occur on devices with TRIM enabled. An illustration and discussion of the issues arising from activating TRIM is available in the [http://asalor.blogspot.de/2011/08/trim-dm-crypt-problems.html blog] of a {{ic|cryptsetup}} developer. As a result encryption schemes that rely on plausible deniability should never be used on a device that utilizes TRIM.
 
  +
  +
The following cases can be distinguished:
  +
  +
* デバイスをデフォルトの dm-crypt LUKS モードで暗号化している場合:
  +
** By default the LUKS header is stored at the beginning of the device and using TRIM is useful to protect header modifications. If for example a compromised LUKS password is revoked, without TRIM the old header will in general still be available for reading until overwritten by another operation; if the drive is stolen in the meanwhile, the attackers could in theory find a way to locate the old header and use it to decrypt the content with the compromised password. See [https://gitlab.com/cryptsetup/cryptsetup/wikis/FrequentlyAskedQuestions#5-security-aspects cryptsetup FAQ, section 5.19 What about SSDs, Flash and Hybrid Drives?] and [https://www.reddit.com/r/archlinux/comments/2f370s/full_disk_encryption_on_an_ssd/ck5p5c5 Full disk encryption on an ssd].
  +
** TRIM can be left disabled if the security issues stated at the top of this section are considered a worse threat than the above bullet.
  +
: [[ディスクの完全消去#フラッシュメモリ]]も参照してください。
  +
* デバイスを dm-crypt の plain モードで暗号化している、または LUKS ヘッダーを[[#リモート LUKS ヘッダーを使ってシステムを暗号化|別個に]]保存している場合:
  +
** If plausible deniability is required, TRIM should '''never''' be used because of the considerations at the top of this section, or the use of encryption will be given away.
  +
** If plausible deniability is not required, TRIM can be used for its performance gains, provided that the security dangers described at the top of this section are not of concern.
  +
  +
{{Warning|ドライブの TRIM を有効にする前に、デバイスが TRIM コマンドを完全にサポートしていることを確認してください。TRIM がサポートされていない場合、データが消失する危険があります。[[ソリッドステートドライブ#TRIM]] を見てください。}}
   
 
In {{Pkg|linux}} 3.1 and up, support for dm-crypt TRIM pass-through can be toggled upon device creation or mount with dmsetup. Support for this option also exists in {{Pkg|cryptsetup}} version 1.4.0 and up. To add support during boot, you will need to add {{ic|:allow-discards}} to the {{ic|cryptdevice}} option. The TRIM option may look like this:
 
In {{Pkg|linux}} 3.1 and up, support for dm-crypt TRIM pass-through can be toggled upon device creation or mount with dmsetup. Support for this option also exists in {{Pkg|cryptsetup}} version 1.4.0 and up. To add support during boot, you will need to add {{ic|:allow-discards}} to the {{ic|cryptdevice}} option. The TRIM option may look like this:
166行目: 205行目:
 
For the main {{ic|cryptdevice}} configuration options before the {{ic|:allow-discards}} see [[Dm-crypt/システム設定]].
 
For the main {{ic|cryptdevice}} configuration options before the {{ic|:allow-discards}} see [[Dm-crypt/システム設定]].
   
  +
If you are using a systemd based initrd, you must pass:
Besides the kernel option, it is also required to periodically run {{ic|fstrim}} or mount the filesystem (e.g. {{ic|/dev/mapper/root}} in this example) with the {{ic|discard}} option in {{ic|/etc/fstab}}. For details, please refer to the [[SSD#TRIM|SSD]] page. For LUKS devices unlocked manually on the console or via {{ic|/etc/crypttab}} either {{ic|discard}} or {{ic|allow-discards}} may be used.
 
  +
rd.luks.options=discard
  +
  +
Besides the kernel option, it is also required to periodically run {{ic|fstrim}} or mount the filesystem (e.g. {{ic|/dev/mapper/root}} in this example) with the {{ic|discard}} option in {{ic|/etc/fstab}}. For details, please refer to the [[TRIM]] page.
  +
  +
For LUKS devices unlocked manually on the console or via {{ic|/etc/crypttab}} either {{ic|discard}} or {{ic|allow-discards}} may be used.
   
 
== encrypt フックと複数のディスク ==
 
== encrypt フックと複数のディスク ==
   
The {{ic|encrypt}} hook only allows for a '''single''' {{ic|cryptdevice<nowiki>=</nowiki>}} entry. In system setups with multiple drives this may be limiting, because ''dm-crypt'' has no feature to exceed the physical device. For example, take "LVM on LUKS": The entire LVM exists inside a LUKS mapper. This is perfectly fine for a single-drive system, since there is only one device to decrypt. But what happens when you want to increase the size of the LVM? You cannot, at least not without modifying the {{ic|encrypt}} hook.
+
The {{ic|encrypt}} hook only allows for a '''single''' {{ic|cryptdevice<nowiki>=</nowiki>}} entry ({{Bug|23182}}). In system setups with multiple drives this may be limiting, because ''dm-crypt'' has no feature to exceed the physical device. For example, take "LVM on LUKS": The entire LVM exists inside a LUKS mapper. This is perfectly fine for a single-drive system, since there is only one device to decrypt. But what happens when you want to increase the size of the LVM? You cannot, at least not without modifying the {{ic|encrypt}} hook.
   
 
The following sections briefly show alternatives to overcome the limitation. The first deals with how to expand a [[Dm-crypt/システム全体の暗号化#LUKS_on_LVM|LUKS on LVM]] setup to a new disk. The second with modifying the {{ic|encrypt}} hook to unlock multiple disks in LUKS setups without LVM. The third section then again uses LVM, but modifies the {{ic|encrypt}} hook to unlock the encrypted LVM with a remote LUKS header.
 
The following sections briefly show alternatives to overcome the limitation. The first deals with how to expand a [[Dm-crypt/システム全体の暗号化#LUKS_on_LVM|LUKS on LVM]] setup to a new disk. The second with modifying the {{ic|encrypt}} hook to unlock multiple disks in LUKS setups without LVM. The third section then again uses LVM, but modifies the {{ic|encrypt}} hook to unlock the encrypted LVM with a remote LUKS header.
211行目: 255行目:
   
 
=== 複数のパーティションの encrypt フックを修正 ===
 
=== 複数のパーティションの encrypt フックを修正 ===
==== 複数の root パーティション ====
+
==== 複数のパーティションにまたがる root ファイルシステム ====
  +
起動時に複数のハードドライブからルートファイルシステム ({{ic|/}}) を復号化するように encrypt フックを修正することが可能です:
It is possible to modify the encrypt hook to allow multiple hard drive decrypt root ({{ic|/}}) at boot. The {{AUR|cryptsetup-multi}} package may be used for it. An alternative way according to an Arch user (benke):
 
   
# cp /usr/lib/initcpio/hooks/encrypt /usr/lib/initcpio/hooks/encrypt2
+
# cp /usr/lib/initcpio/install/encrypt /etc/initcpio/install/encrypt2
# cp /usr/lib/initcpio/install/encrypt /usr/lib/initcpio/install/encrypt2
+
# cp /usr/lib/initcpio/hooks/encrypt /etc/initcpio/hooks/encrypt2
# nano /usr/lib/initcpio/hooks/encrypt2
+
# sed -i "s/cryptdevice/cryptdevice2/" /etc/initcpio/hooks/encrypt2
  +
# sed -i "s/cryptkey/cryptkey2/" /etc/initcpio/hooks/encrypt2
   
  +
ブートオプションに {{ic|1=cryptdevice2=}} を (必要であれば {{ic|1=cryptkey2=}} も) 追加して、[[mkinitcpio.conf]] に {{ic|encrypt2}} フックを追加してからリビルドしてください。[[Dm-crypt/システム設定]]も参照。
Change {{ic|$cryptkey}} to {{ic|$cryptkey2}}, and {{ic|$cryptdevice}} to {{ic|$cryptdevice2}}.
 
Add {{ic|1=cryptdevice2=}} (e.g. {{ic|1=cryptdevice2=/dev/sdb:hdd2}}) to your boot options (and {{ic|1=cryptkey2=}} if needed).
 
 
Change the {{ic|/etc/fstab}} flag for root:
 
 
/dev/sdb /mnt btrfs device=/dev/sda,device=/dev/sdb, ... 0 0
 
   
 
==== 複数の root 以外のパーティション ====
 
==== 複数の root 以外のパーティション ====
239行目: 279行目:
   
 
=== リモート LUKS ヘッダーを使ってシステムを暗号化 ===
 
=== リモート LUKS ヘッダーを使ってシステムを暗号化 ===
This example follows the same setup as in [[Dm-crypt/システム全体の暗号化#Plain dm-crypt]], which should be read first before following this guide.
+
以下の例では [[Dm-crypt/システム全体の暗号化#Plain dm-crypt]] と同じセットアップを使います。先に進む前に読んでおいてください。
  +
 
By using a remote header the encrypted blockdevice itself only carries encrypted data, which gives [[Wikipedia:Deniable encryption|deniable encryption]] as long as the existence of a header is unknown to the attackers. It is similar to using [[Dm-crypt/システム全体の暗号化#Plain_dm-crypt|plain dm-crypt]], but with the LUKS advantages such as multiple passphrases for the masterkey and key derivation. Further, using a remote header offers a form of two factor authentication with an easier setup than [[#GPG や OpenSSL で暗号化されたキーファイルを使う|using GPG or OpenSSL encrypted keyfiles]], while still having a built-in password prompt for multiple retries. See [[ディスク暗号化#暗号メタデータ]] for more information.
+
リモートのヘッダーを使うことにより、暗号化されたブロックデバイスには暗号化データだけが保持され、攻撃者にヘッダーの存在が露見しないかぎり[[Wikipedia:Deniable encryption|否認可能性]]を得ることができます。[[Dm-crypt/システム全体の暗号化#Plain_dm-crypt|plain dm-crypt]] を使用する場合と似ていますが、LUKS の利点としてマスター鍵と鍵導出関数によって複数のパスフレーズが使えるなどのメリットがあります。さらに、リモートヘッダーは [[#GPG や OpenSSL で暗号化されたキーファイルを使う|GPG OpenSSL で暗号化したキーファイル]]を使う方法よりも簡単に二要素認証を実現できます。内蔵のパスワードプロンプトで複数回の入力が可能です。詳しくは[[ディスク暗号化#暗号メタデータ]]を見てください。
   
See [[dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション]] for encryption options before performing the first step to setup the encrypted system partition and creating a header file to use with {{ic|cryptsetup}}:
+
[[dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション]]を見て暗号化オプションを確認してから、暗号化したシステムパーティションを設定し {{ic|cryptsetup}} で使用するヘッダーファイルを作成してください:
 
# truncate -s 2M header.img
 
# truncate -s 2M header.img
 
# cryptsetup luksFormat /dev/sdX --header header.img
 
# cryptsetup luksFormat /dev/sdX --header header.img
   
  +
コンテナを開くには:
Open the container:
 
 
# cryptsetup open --header header.img --type luks /dev/sdX enc
 
# cryptsetup open --header header.img --type luks /dev/sdX enc
   
Now follow the [[Dm-crypt/システム全体の暗号化#boot 以外のパーティションの準備|LVM on LUKS setup]] to your requirements. The same applies for [[Dm-crypt/システム全体の暗号化#boot パーティションの準備 4|preparing the boot partition]] on the removable device (because if not, there is no point in having a separate header file for unlocking the encrypted disk).
+
後は [[Dm-crypt/システム全体の暗号化#boot 以外のパーティションの準備|LVM on LUKS セットアップ]]に従ってください。同じようにリムーバルデバイスに [[Dm-crypt/システム全体の暗号化#boot パーティションの準備 4|boot パーティションを準備]]します (同じでなければ、暗号化ディスクを解錠するためのヘッダーファイルを別にする意味がありません)。そして {{ic|header.img}} を移動します:
Next move the {{ic|header.img}} onto it:
 
 
# mv header.img /mnt/boot
 
# mv header.img /mnt/boot
   
260行目: 299行目:
 
==== systemd フックを使う ====
 
==== systemd フックを使う ====
   
  +
First create {{ic|/etc/crypttab.initramfs}} and add the encrypted device to it. The syntax is defined in {{man|5|crypttab|url=https://www.freedesktop.org/software/systemd/man/crypttab.html}}:
{{Note|This method requires systemd '''219''' or later.}}
 
 
First create {{ic|/etc/crypttab.initramfs}} and add the encrypted device to it. The syntax is defined in [http://www.freedesktop.org/software/systemd/man/crypttab.html crypttab(5)]
 
 
{{hc|/etc/crypttab.initramfs|2=MyStorage PARTUUID=00000000-0000-0000-0000-000000000000 none header=/boot/header.img}}
 
{{hc|/etc/crypttab.initramfs|2=MyStorage PARTUUID=00000000-0000-0000-0000-000000000000 none header=/boot/header.img}}
   
Modify {{ic|/etc/mkinitcpio.conf}} [[Mkinitcpio#通常のフック|to use systemd]] and add the header to {{ic|FILES}}.
+
[[Mkinitcpio#通常のフック|systemd]] を使用するように {{ic|/etc/mkinitcpio.conf}} を編集して {{ic|FILES}} にヘッダーを追加してください:
   
 
{{hc|
 
{{hc|
273行目: 310行目:
 
}}
 
}}
   
[[Mkinitcpio#イメージ作成とアクティベーション|Recreate the initramfs]] and you are done.
+
[[Mkinitcpio#イメージ作成とアクティベーション|initramfs を再作成]]したら設定は完了です。
   
  +
{{Note|No cryptsetup parameters need to be passed to the kernel command line, since{{ic|/etc/crypttab.initramfs}} will be added as {{ic|/etc/crypttab}} in the initramfs. If you wish to specify them in the kernel command line see {{man|8|systemd-cryptsetup-generator|url=https://www.freedesktop.org/software/systemd/man/systemd-cryptsetup-generator.html}} for the supported options.}}
{{Note|
 
* No cryptsetup parameters need to be passed to the kernel command line, since{{ic|/etc/crypttab.initramfs}} will be added as {{ic|/etc/crypttab}} in the initramfs. If you wish to specify them in the kernel command line see [http://www.freedesktop.org/software/systemd/man/systemd-cryptsetup-generator.html systemd-cryptsetup-generator(8)] for the supported options.
 
* Be aware the {{ic|systemd}} hook adds further files to the initramfs (e.g. {{ic|/etc/passwd}} and {{ic|/etc/group}}), in case you consider them sensitive.}}
 
   
 
==== encrypt フックを修正する ====
 
==== encrypt フックを修正する ====
   
This method shows how to modify the {{ic|encrypt}} hook in order to use a remote LUKS header. Now the {{ic|encrypt}} hook has to be modified to let {{ic|cryptsetup}} use the separate header (base source and idea for these changes [https://bbs.archlinux.org/viewtopic.php?pid=1076346#p1076346 published on the BBS]). Make a copy so it is not overwritten on a [[mkinitcpio]] update:
+
This method shows how to modify the {{ic|encrypt}} hook in order to use a remote LUKS header. Now the {{ic|encrypt}} hook has to be modified to let {{ic|cryptsetup}} use the separate header ({{Bug|42851}}; base source and idea for these changes [https://bbs.archlinux.org/viewtopic.php?pid=1076346#p1076346 published on the BBS]). Make a copy so it is not overwritten on a [[mkinitcpio]] update:
# cp /lib/initcpio/hooks/encrypt{,2}
+
# cp /usr/lib/initcpio/hooks/encrypt /etc/initcpio/hooks/encrypt2
# cp /usr/lib/initcpio/install/encrypt{,2}
+
# cp /usr/lib/initcpio/install/encrypt /etc/initcpio/install/encrypt2
   
{{hc|/lib/initcpio/hooks/encrypt2 (around line 52)|output=warn_deprecated() {
+
{{hc|/etc/initcpio/hooks/encrypt2 (around line 52)|output=warn_deprecated() {
 
echo "The syntax 'root=${root}' where '${root}' is an encrypted volume is deprecated"
 
echo "The syntax 'root=${root}' where '${root}' is an encrypted volume is deprecated"
 
echo "Use 'cryptdevice=${root}:root root=/dev/mapper/root' instead."
 
echo "Use 'cryptdevice=${root}:root root=/dev/mapper/root' instead."
321行目: 356行目:
 
This is required so the LUKS header is available on boot allowing the decryption of the system, exempting us from a more complicated setup to mount another separate USB device in order to access the header. After this set up [[Mkinitcpio#イメージ作成とアクティベーション|the initramfs]] is created.
 
This is required so the LUKS header is available on boot allowing the decryption of the system, exempting us from a more complicated setup to mount another separate USB device in order to access the header. After this set up [[Mkinitcpio#イメージ作成とアクティベーション|the initramfs]] is created.
   
Next the [[Dm-crypt/システム全体の暗号化#ブートローダーの設定 4|boot loader is configured]] to specify the {{ic|1=cryptdevice=}} also passing the new {{ic|header}} option for this setup:
+
次に[[Dm-crypt/システム全体の暗号化#ブートローダーの設定 4|ブートローダーを設定]]して {{ic|1=cryptdevice=}} で新しい {{ic|header}} オプションも設定します:
 
cryptdevice=/dev/sdX:enc:header
 
cryptdevice=/dev/sdX:enc:header
   

2017年3月6日 (月) 23:11時点における版

Dm-crypt に戻る。

暗号化されていない boot パーティションのセキュア化

警告: systemd バージョン 230 から cryptsetup のジェネレータは crypto キーファイルの RequiresMountsFor を省きます。そのため、ファイルが含まれているファイルシステムをアンマウントすると、cryptsetup サービスも停止します。ファイルシステムと cryptokey が必要になるのは crypto コンテナを初期設定するときだけなので、この挙動は間違っています。詳しくは [1] を参照。

たとえ root を暗号化したとしても、/boot パーティションと Master Boot Record はディスクの中で暗号化されてない状態で残ります。この2つを暗号化するのは基本的に不可能です。ブートローダーと BIOS が dm-crypt コンテナの暗号化を解除してブートプロセスを続行することが出来なくなってしまいます。例外は GRUB で、LUKS で暗号化した /boot を復号する機能が存在します。GRUB を見て下さい。

警告: Note that securing the /boot partition and MBR can mitigate numerous attacks that occur during the boot process, but systems configured this way may still be vulnerable to BIOS/UEFI/firmware tampering, hardware keyloggers, cold boot attacks, and many other threats that are beyond the scope of this article. For an overview of system-trust issues and how these relate to full-disk encryption, refer to [2].

リムーバルデバイスから起動

別のデバイスを使ってシステムを起動するのはとても簡単で、特定の攻撃に対してセキュリティを高めることができます。ルートファイルシステムを暗号化したシステムで脆弱ポイントとなりえるのは以下の2つです:

システムを起動するには上記をどちらも暗号化されていない状態で保存しなければなりません。改竄から保護する方法として、USB ドライブなどのリムーバルメディアに保存して、ハードディスクの代わりとしてドライブから起動することができます。ドライブを肌身離さず持ち歩いていれば、改竄を加えられる恐れがなくなり、システムを解錠する認証機構をさらにセキュアにすることができます。

既にシステム設定を終えていて専用のパーティションを /boot にマウントしていることが前提です。まだ設定していない場合、dm-crypt/システム設定#ブートローダーの手順に従ってください。リムーバルメディアはハードディスクで置き換えて下さい。

ノート: You must make sure your system supports booting from the chosen medium, be it a USB drive, an external hard drive, an SD card, or anything else.

リムーバルドライブ (/dev/sdx) を準備:

# gdisk /dev/sdx #format if necessary. Alternatively, cgdisk, fdisk, cfdisk, gparted...
# mkfs.ext2 /dev/sdx1
# mount /dev/sdx1 /mnt

既存の /boot の中身をコピー:

# cp -R -i -d /boot/* /mnt

新しいパーティションをマウントして fstab ファイルを更新:

# umount /boot
# umount /mnt
# mount /dev/sdx1 /boot
# genfstab -p -U / > /etc/fstab

その後 GRUB を更新してください。grub-mkconfig は自動的に新しいパーティションの UUID を認識するはずですが、カスタムメニューエントリは手動で更新する必要があるかもしれません。

# grub-mkconfig -o /boot/grub/grub.cfg
# grub-install /dev/sdx #install to the removable device, not the hard disk.

再起動して新しい設定をテストしてください。忘れずに BIOSUEFI でデバイスのブート順序を設定してください。システムが起動しない場合、ハードドライブから起動することで問題を修正することができます。

chkboot

警告: chkboot makes a /boot partition tamper-evident, not tamper-proof. By the time the chkboot script is run, you have already typed your password into a potentially compromised boot loader, kernel, or initrd. If your system fails the chkboot integrity test, no assumptions can be made about the security of your data.

Referring to an article from the ct-magazine (Issue 3/12, page 146, 01.16.2012, [3]) the following script checks files under /boot for changes of SHA-1 hash, inode, and occupied blocks on the hard drive. It also checks the Master Boot Record. The script cannot prevent certain type of attacks, but a lot are made harder. No configuration of the script itself is stored in unencrypted /boot. With a locked/powered-off encrypted system, this makes it harder for some attackers because it is not apparent that an automatic checksum comparison of the partition is done upon boot. However, an attacker who anticipates these precautions can manipulate the firmware to run his own code on top of your kernel and intercept file system access, e.g. to boot, and present the untampered files. Generally, no security measures below the level of the firmware are able to guarantee trust and tamper evidence.

インストールスクリプトが 存在します (Author: Juergen Schmidt, ju at heisec.de; License: GPLv2)。また、chkbootAUR パッケージでインストールすることもできます。

インストールしたらサービスファイル (パッケージに含まれています) を追加して有効化してください:

[Unit]
Description=Check that boot is what we want
Requires=basic.target
After=basic.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/chkboot.sh

[Install]
WantedBy=multi-user.target

There is a small caveat for systemd: At the time of writing, the original chkboot.sh script provided contains an empty space at the beginning of #!/bin/bash which has to be removed for the service to start successfully.

/usr/local/bin/chkboot_user.sh はログイン後すぐに実行する必要があるため、自動起動するように設定してください (例: KDE の場合 -> System Settings -> Startup and Shutdown -> Autostart; GNOME 3: gnome-session-properties)。

With Arch Linux, changes to /boot are pretty frequent, for example by new kernels rolling-in. Therefore it may be helpful to use the scripts with every full system update. One way to do so:

#!/bin/bash
#
# Note: Insert your <user>  and execute it with sudo for pacman & chkboot to work automagically
#
echo "Pacman update [1] Quickcheck before updating" & 
sudo -u <user> /usr/local/bin/chkboot_user.sh		# insert your logged on <user> 
/usr/local/bin/chkboot.sh
sync							# sync disks with any results 
sudo -u <user> /usr/local/bin/chkboot_user.sh		# insert your logged on <user> 
echo "Pacman update [2] Syncing repos for pacman" 
pacman -Syu
/usr/local/bin/chkboot.sh
sync	
sudo -u <user> /usr/local/bin/chkboot_user.sh		# insert your logged on <user>
echo "Pacman update [3] All done, let us roll on ..."

mkinitcpio-chkcryptoboot

警告: このフックは GRUB のコアコード (MBR) や EFI スタブは暗号化しません。攻撃者がブートローダーの設定を変更してカーネルや initramfs を実行時に改竄できる状態からは保護されません。

mkinitcpio-chkcryptobootAUR は初期ユーザー空間で整合性チェックを行ってシステムのセキュリティが破られている場合に root パーティションのパスワードを入力しないようにユーザーに忠告する mkinitcpio フックです。ブートパーティションを暗号化することでセキュリティを確保し、GRUBcryptodisk.mod モジュールでロックを解除します。root ファイルシステムのパーティションは別のパスワードを使って暗号化します。これなら、オフラインの改竄からも initramfsカーネルを守ることができ、たとえマシンに侵入されて /boot パーティションのパスワードが入力されても root パーティションは安全です (chkcryptoboot フックが改竄を検出して、フック自体が改竄されていない場合)。

This hook requires grub release >=2.00 to function, and a dedicated, LUKS encrypted /boot partition with its own password in order to be secure.

インストール

mkinitcpio-chkcryptobootAURインストールして /etc/default/chkcryptoboot.conf を編集します。If you want the ability of detecting if your boot partition was bypassed, edit the CMDLINE_NAME and CMDLINE_VALUE variables, with values known only to you. You can follow the advice of using two hashes as is suggested right after the installation. Also, be sure to make the appropriate changes to the kernel command line in /etc/default/grub. Edit the HOOKS= line in /etc/mkinitcpio.conf, and insert the chkcryptoboot hook before encrypt. When finished, rebuild the initramfs.

技術的な概要

mkinitcpio-chkcryptobootAUR consists of an install hook and a run-time hook for mkinitcpio. The install hook runs every time the initramfs is rebuilt, and hashes the GRUB EFI stub ($esp/EFI/grub_uefi/grubx64.efi) (in the case of UEFI systems) or the first 446 bytes of the disk on which GRUB is installed (in the case of BIOS systems), and stores that hash inside the initramfs located inside the encrypted /boot partition. When the system is booted, GRUB prompts for the /boot password, then the run-time hook performs the same hashing operation and compares the resulting hashes before prompting for the root partition password. If they do not match, the hook will print an error like this:

CHKCRYPTOBOOT ALERT!
CHANGES HAVE BEEN DETECTED IN YOUR BOOT LOADER EFISTUB!
YOU ARE STRONGLY ADVISED NOT TO ENTER YOUR ROOT CONTAINER PASSWORD!
Please type uppercase yes to continue:

In addition to hashing the boot loader, the hook also checks the parameters of the running kernel against those configured in /etc/default/chkcryptoboot.conf. This is checked both at run-time and after the boot process is done. This allows the hook to detect if GRUB's configuration was not bypassed at run-time and afterwards to detect if the entire /boot partition was not bypassed.

For BIOS systems the hook creates a hash of GRUB's first stage bootloader (installed to the first 446 bytes of the bootdevice) to compare at the later boot processes. The main second-stage GRUB bootloader core.img is not checked.

他の方法

上記のスクリプトの代わりに、AIDE によるハッシュチェックを設定することもできます。柔軟な設定ファイルでカスタマイズが可能です。

While one of these methods should serve the purpose for most users, they do not address all security problems associated with the unencrypted /boot. One approach which endeavours to provide a fully authenticated boot chain was published with POTTS as an academic thesis to implement the STARK authentication framework.

The POTTS proof-of-concept uses Arch Linux as a base distribution and implements a system boot chain with

  • POTTS - a boot menu for a one-time authentication message prompt
  • TrustedGrub - a GRUB Legacy implementation which authenticates the kernel and initramfs against TPM chip registers
  • TRESOR - a kernel patch which implements AES but keeps the master-key not in RAM but in CPU registers during runtime.

As part of the thesis installation instructions based on Arch Linux (ISO as of 2013-01) have been published. If you want to try it, be aware these tools are not in standard repositories and the solution will be time consuming to maintain.

GPG や OpenSSL で暗号化されたキーファイルを使う

The following forum posts give instructions to use two factor authentication, gpg or openssl encrypted keyfiles, instead of a plaintext keyfile described earlier in this wiki article System Encryption using LUKS with GPG encrypted keys:

Note that:

  • You can follow the above instructions with only two primary partitions, one boot partition (required because of encryption) and one primary LVM partition. Within the LVM partition you can have as many partitions as you need, but most importantly it should contain at least root, swap, and home logical volume partitions. This has the added benefit of having only one keyfile for all your partitions, and having the ability to hibernate your computer (suspend to disk) where the swap partition is encrypted. If you decide to do so your hooks in /etc/mkinitcpio.conf should look like this:
    HOOKS=" ... usb usbinput (etwo or ssldec) encrypt (if using openssl) lvm2 resume ... "
    そしてカーネルパラメータに以下を追加してください:
    resume=/dev/mapper/<VolumeGroupName>-<LVNameOfSwap>
  • If you need to temporarily store the unencrypted keyfile somewhere, do not store them on an unencrypted disk. Even better make sure to store them to RAM such as /dev/shm.
  • GPG で暗号化されたキーファイルを使いたい場合、静的にコンパイルされた GnuPG バージョン 1.4 を使う必要があります。もしくはフックを編集して AUR の gnupg1AUR パッケージを使ってください。
  • It is possible that an update to OpenSSL could break the custom ssldec mentioned in the second forum post.

root などのパーティションのリモート解除

LUKS によって完全に暗号化されたシステムをリモートで再起動したい場合、もしくは Wake-on-LAN サービスを使ってシステムを起動したい場合、起動時にルートパーティション/ボリュームのパスフレーズを入力する手段が必要になります。ネットワークインターフェイスを設定する mkinitcpio のフックを実行することでこれを実現可能です。以下のパッケージには様々な mkinitcpio ビルドフックが含まれており設定を楽にしてくれます。

ノート:

リモートのロック解除 (フック: systemd, systemd-tool)

AUR パッケージの mkinitcpio-systemd-toolAUR には systemd-tool という名前の systemd 中心の mkinitcpio フックが含まれており、initramfs の systemd で以下の機能を使うことができるようになります:

フックによって実現されるコア機能:

  • systemd + mkinitcpio の統合設定
  • バイナリと設定リソースの自動プロビジョニング
  • オンデマンドの mkinitcpio スクリプトとインライン関数の実行

同梱されているサービスユニットによって実現される機能:

  • initrd のデバッグ
  • 初期ユーザー空間でのネットワークの設定
  • インタラクティブなユーザーシェル
  • initrd におけるリモート ssh アクセス
  • cryptsetup + カスタムパスワードエージェント

mkinitcpio-systemd-toolAUR パッケージは systemd フックを必要とします。詳しい情報はプロジェクトの README やデフォルトの systemd サービスユニットファイル を見てください。

推奨されるフックは次の通りです: base autodetect modconf block filesystems keyboard fsck systemd systemd-tool

リモートのロック解除 (フック: netconf, dropbear, tinyssh, ppp)

initcpio のリモートログインを実現するパッケージの別の組み合わせとして mkinitcpio-netconfAUR あるいは mkinitcpio-pppAUR (インターネット経由で PPP 接続を使ってリモートでロックを解除) と SSH サーバーを使用する方法があります。SSH サーバーは mkinitcpio-dropbearAUR または mkinitcpio-tinysshAUR のどちらを使用するか選択できます。これらのフックはシェルをインストールしないため、mkinitcpio-utilsAUR パッケージもインストールする必要があります。以下の手順は上記のパッケージと組み合わせて使うことができます。パスが異なる場合、注意してください。

  1. SSH のキーペアが存在しない場合、クライアント環境でペアを生成してください (リモート環境のロックを解除するのに使用します)。mkinitcpio-tinysshAUR を使用する場合、Ed25519 鍵を使用することができます。
  2. SSH 公開鍵 (パスワードを使わなくても ssh で接続できるように使用している公開鍵、または、今さっき作成した拡張子が .pub のファイル) をリモートマシンの /etc/dropbear/root_key または /etc/tinyssh/root_key ファイルにコピーしてください。
    ヒント: 必要であれば他の SSH 公開鍵を後で追加することもできます。リモートの ~/.ssh/authorized_keys の中身をコピーする場合、リモートマシンのロックを解除するのに使用する鍵だけが含まれていることを確認してください。鍵を追加したら、mkinitcpio で initrd も再生成する必要があります。Secure Shell#SSH の保護も参照してください。
  3. /etc/mkinitcpio.conf の "HOOKS" 行の filesystems の前に <netconf and/or ppp> <dropbear or tinyssh> encryptssh フックを追加してください (encryptsshencrypt フックを置き換えます)。それから initramfs イメージを再生成してください。
    ノート: mkinitcpio-nfs-utils に含まれている net フックは必要ありません。
  4. ブートローダーの設定に cryptdevice= パラメータを設定して適切な引数を付けた ip= カーネルコマンドパラメータを追加してください。例えば、DHCP サーバーからリモート環境に固定 IP が割り当てられない場合、再起動してから SSH でアクセスするのが難しいため、以下のように使用したい IP を明示的に指定できます:
    ip=192.168.1.1:::::eth0:none
    ノート: mkinitcpio-netconfAUR のバージョン 0.0.4 現在、複数の ip= パラメータをネストすることで複数のインターフェイスを設定できます。ip=dhcp (ip=:::::eth0:dhcp) と混ぜることはできません。インターフェイスを指定する必要があります。
    ip=ip=192.168.1.1:::::eth0:none:ip=172.16.1.1:::::eth1:none
    詳しい説明は mkinitcpio のセクションを読んでください。設定が完了したら、ブートローダーの設定を更新してください。
  5. Finally, restart the remote system and try to ssh to it, explicitly stating the "root" username (even if the root account is disabled on the machine, this root user is used only in the initrd for the purpose of unlocking the remote system). If you are using the mkinitcpio-dropbearAUR package and you also have the openssh package installed, then you most probably will not get any warnings before logging in, because it convert and use the same host keys openssh uses. (Except Ed25519 keys, dropbear does not support them). In case you are using mkinitcpio-tinysshAUR, you have the option of installing tinyssh-convertAUR or tinyssh-convert-gitAUR so you can use the same keys as your openssh installation (currently only Ed25519 keys). In either case, you should have run the ssh daemon at least once, using the provided systemd units, so the keys can be generated first. After rebooting the machine, you should be prompted for the passphrase to unlock the root device. Afterwards, the system will complete its boot process and you can ssh to it as you normally would (with the remote user of your choice).
ヒント: If you would simply like a nice solution to mount other encrypted partitions (such as /home) remotely, you may want to look at this forum thread.

wifi でリモートのロック解除 (フック: 自分で作成)

The net hook is normally used with an ethernet connection. In case you want to setup a computer with wireless only, and unlock it via wifi, you can create a custom hook to connect to a wifi network before the net hook is run.

Below example shows a setup using a usb wifi adapter, connecting to a wifi network protected with WPA2-PSK. In case you use for example WEP or another boot loader, you might need to change some things.

  1. Modify /etc/mkinitcpio.conf:
    • Add the needed kernel module for your specific wifi adatper.
    • Include the wpa_passphrase and wpa_supplicant binaries.
    • Add a hook wifi (or a name of your choice, this is the custom hook that will be created) before the net hook.
      MODULES="module"
      BINARIES="wpa_passphrase wpa_supplicant"
      HOOKS="base udev autodetect ... wifi net ... dropbear encryptssh ..."
  2. Create the wifi hook in /lib/initcpio/hooks/wifi:
    run_hook ()
    {
    # sleep a couple of seconds so wlan0 is setup by kernel
    sleep 5

    # set wlan0 to up
    ip link set wlan0 up

    # assocciate with wifi network
    # 1. save temp config file
    wpa_passphrase "network ESSID" "pass phrase" > /tmp/wifi

    # 2. assocciate
    wpa_supplicant -B -D nl80211,wext -i wlan0 -c /tmp/wifi

    # sleep a couple of seconds so that wpa_supplicant finishes connecting
    sleep 5

    # wlan0 should now be connected and ready to be assigned an ip by the net hook
    }

    run_cleanuphook ()
    {
    # kill wpa_supplicant running in the background
    killall wpa_supplicant

    # set wlan0 link down
    ip link set wlan0 down

    # wlan0 should now be fully disconnected from the wifi network
    }
  3. Create the hook installation file in /lib/initcpio/install/wifi:
    build ()
    {
    add_runscript
    }
    help ()
    {
    cat<<HELPEOF
    Enables wifi on boot, for dropbear ssh unlocking of disk.
    HELPEOF
    }
  4. ip=:::::wlan0:dhcpカーネルパラメータに追加。衝突しないように ip=:::::eth0:dhcp は削除してください。
  5. Optionally create an additional boot entry with kernel parameter ip=:::::eth0:dhcp.
  6. initramfs イメージを再生成
  7. ブートローダーの設定を更新。例えば GRUB の場合:
    # grub-mkconfig -o /boot/grub/grub.cfg

Remember to setup wifi, so you are able to login once the system is fully booted. In case you are unable to connect to the wifi network, try increasing the sleep times a bit.

ソリッドステートドライブ (SSD) の Discard/TRIM のサポート

ソリッドステートドライブを使用している場合、device-mapper はデフォルトでは TRIM コマンドを有効にしないので注意してください。デフォルト設定を上書きしないかぎりブロックデバイスは discard オプションが無効な状態でマウントされます。

セキュリティ上の問題があるため dm-crypt デバイスで TRIM のサポートがデフォルトで有効になることは永遠にないと device-mapper のメンテナは説明しています [4][5]。TRIM を有効にすると開放されたブロック情報という形でデータが漏洩する可能性が僅かにあり、そこから使用しているファイルシステムが判別される恐れがあります。TRIM を有効にすることによる問題の議論と説明は cryptsetup の開発者による ブログ記事 で読むことができます。デバイスが昔 (cryptsetup <1.6.0) のデフォルト暗号である --cipher aes-cbc-essiv で暗号化されている場合、最新のデフォルト設定を使用している場合よりも TRIM されたセクタから多くの情報が漏洩する危険があります。

The following cases can be distinguished:

  • デバイスをデフォルトの dm-crypt LUKS モードで暗号化している場合:
    • By default the LUKS header is stored at the beginning of the device and using TRIM is useful to protect header modifications. If for example a compromised LUKS password is revoked, without TRIM the old header will in general still be available for reading until overwritten by another operation; if the drive is stolen in the meanwhile, the attackers could in theory find a way to locate the old header and use it to decrypt the content with the compromised password. See cryptsetup FAQ, section 5.19 What about SSDs, Flash and Hybrid Drives? and Full disk encryption on an ssd.
    • TRIM can be left disabled if the security issues stated at the top of this section are considered a worse threat than the above bullet.
ディスクの完全消去#フラッシュメモリも参照してください。
  • デバイスを dm-crypt の plain モードで暗号化している、または LUKS ヘッダーを別個に保存している場合:
    • If plausible deniability is required, TRIM should never be used because of the considerations at the top of this section, or the use of encryption will be given away.
    • If plausible deniability is not required, TRIM can be used for its performance gains, provided that the security dangers described at the top of this section are not of concern.
警告: ドライブの TRIM を有効にする前に、デバイスが TRIM コマンドを完全にサポートしていることを確認してください。TRIM がサポートされていない場合、データが消失する危険があります。ソリッドステートドライブ#TRIM を見てください。

In linux 3.1 and up, support for dm-crypt TRIM pass-through can be toggled upon device creation or mount with dmsetup. Support for this option also exists in cryptsetup version 1.4.0 and up. To add support during boot, you will need to add :allow-discards to the cryptdevice option. The TRIM option may look like this:

cryptdevice=/dev/sdaX:root:allow-discards

For the main cryptdevice configuration options before the :allow-discards see Dm-crypt/システム設定.

If you are using a systemd based initrd, you must pass:

rd.luks.options=discard

Besides the kernel option, it is also required to periodically run fstrim or mount the filesystem (e.g. /dev/mapper/root in this example) with the discard option in /etc/fstab. For details, please refer to the TRIM page.

For LUKS devices unlocked manually on the console or via /etc/crypttab either discard or allow-discards may be used.

encrypt フックと複数のディスク

The encrypt hook only allows for a single cryptdevice= entry (FS#23182). In system setups with multiple drives this may be limiting, because dm-crypt has no feature to exceed the physical device. For example, take "LVM on LUKS": The entire LVM exists inside a LUKS mapper. This is perfectly fine for a single-drive system, since there is only one device to decrypt. But what happens when you want to increase the size of the LVM? You cannot, at least not without modifying the encrypt hook.

The following sections briefly show alternatives to overcome the limitation. The first deals with how to expand a LUKS on LVM setup to a new disk. The second with modifying the encrypt hook to unlock multiple disks in LUKS setups without LVM. The third section then again uses LVM, but modifies the encrypt hook to unlock the encrypted LVM with a remote LUKS header.

LVM を複数のディスクに拡張

The management of multiple disks is a basic LVM feature and a major reason for its partitioning flexibility. It can also be used with dm-crypt, but only if LVM is employed as the first mapper. In such a LUKS on LVM setup the encrypted devices are created inside the logical volumes (with a separate passphrase/key per volume). The following covers the steps to expand that setup to another disk.

警告: Backup! While resizing filesystems may be standard, keep in mind that operations may go wrong and the following might not apply to a particular setup. Generally, extending a filesystem to free disk space is less problematic than shrinking one. This in particular applies when stacked mappers are used, as it is the case in the following example.

新しいドライブの追加

First, it may be desired to prepare a new disk according to Dm-crypt/ドライブの準備. Second, it is partitioned as a LVM, e.g. all space is allocated to /dev/sdY1 with partition type "8E00" (Linux LVM). Third, the new disk/partition is attached to the existing LVM volume group, e.g.:

# pvcreate /dev/sdY1
# vgextend MyStorage /dev/sdY1

論理ボリュームの拡張

For the next step, the final allocation of the new diskspace, the logical volume to be extended has to be unmounted. It can be performed for the cryptdevice root partition, but in this case the procedure has to be performed from an Arch Install ISO.

In this example, it is assumed that the logical volume for /home (lv-name homevol) is going to be expanded with the fresh disk space:

# umount /home
# fsck /dev/mapper/home
# cryptsetup luksClose /dev/mapper/home
# lvextend -l +100%FREE MyStorage/homevol

Now the logical volume is extended and the LUKS container comes next:

# cryptsetup open --type luks /dev/mapper/MyStorage-homevol home
# umount /home      # as a safety, in case it was automatically remounted
# cryptsetup --verbose resize home

Finally, the filesystem itself is resized:

# e2fsck -f /dev/mapper/home
# resize2fs /dev/mapper/home

Done! If it went to plan, /home can be remounted

# mount /dev/mapper/home /home

and now includes the span to the new disk. Note that the cryptsetup resize action does not affect encryption keys, they have not changed.

複数のパーティションの encrypt フックを修正

複数のパーティションにまたがる root ファイルシステム

起動時に複数のハードドライブからルートファイルシステム (/) を復号化するように encrypt フックを修正することが可能です:

# cp /usr/lib/initcpio/install/encrypt /etc/initcpio/install/encrypt2
# cp /usr/lib/initcpio/hooks/encrypt  /etc/initcpio/hooks/encrypt2
# sed -i "s/cryptdevice/cryptdevice2/" /etc/initcpio/hooks/encrypt2
# sed -i "s/cryptkey/cryptkey2/" /etc/initcpio/hooks/encrypt2

ブートオプションに cryptdevice2= を (必要であれば cryptkey2= も) 追加して、mkinitcpio.confencrypt2 フックを追加してからリビルドしてください。Dm-crypt/システム設定も参照。

複数の root 以外のパーティション

Maybe you have a requirement for using the encrypt hook on a non-root partition. Arch does not support this out of the box, however, you can easily change the cryptdev and cryptname values in /lib/initcpio/hooks/encrypt (the first one to your /dev/sd* partition, the second to the name you want to attribute). That should be enough.

The big advantage is you can have everything automated, while setting up /etc/crypttab with an external key file (i.e. the keyfile is not on any internal hard drive partition) can be a pain - you need to make sure the USB/FireWire/... device gets mounted before the encrypted partition, which means you have to change the order of /etc/fstab (at least).

Of course, if the cryptsetup package gets upgraded, you will have to change this script again. Unlike /etc/crypttab, only one partition is supported, but with some further hacking one should be able to have multiple partitions unlocked.

If you want to do this on a software RAID partition, there is one more thing you need to do. Just setting the /dev/mdX device in /lib/initcpio/hooks/encrypt is not enough; the encrypt hook will fail to find the key for some reason, and not prompt for a passphrase either. It looks like the RAID devices are not brought up until after the encrypt hook is run. You can solve this by putting the RAID array in /boot/grub/menu.lst, like

kernel /boot/vmlinuz-linux md=1,/dev/hda5,/dev/hdb5

If you set up your root partition as a RAID, you will notice the similarities with that setup ;-). GRUB can handle multiple array definitions just fine:

kernel /boot/vmlinuz-linux root=/dev/md0 ro md=0,/dev/sda1,/dev/sdb1 md=1,/dev/sda5,/dev/sdb5,/dev/sdc5

リモート LUKS ヘッダーを使ってシステムを暗号化

以下の例では Dm-crypt/システム全体の暗号化#Plain dm-crypt と同じセットアップを使います。先に進む前に読んでおいてください。

リモートのヘッダーを使うことにより、暗号化されたブロックデバイスには暗号化データだけが保持され、攻撃者にヘッダーの存在が露見しないかぎり否認可能性を得ることができます。plain dm-crypt を使用する場合と似ていますが、LUKS の利点としてマスター鍵と鍵導出関数によって複数のパスフレーズが使えるなどのメリットがあります。さらに、リモートヘッダーは GPG や OpenSSL で暗号化したキーファイルを使う方法よりも簡単に二要素認証を実現できます。内蔵のパスワードプロンプトで複数回の入力が可能です。詳しくはディスク暗号化#暗号メタデータを見てください。

dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプションを見て暗号化オプションを確認してから、暗号化したシステムパーティションを設定し cryptsetup で使用するヘッダーファイルを作成してください:

# truncate -s 2M header.img
# cryptsetup luksFormat /dev/sdX --header header.img

コンテナを開くには:

# cryptsetup open --header header.img --type luks /dev/sdX enc

後は LVM on LUKS セットアップに従ってください。同じようにリムーバルデバイスに boot パーティションを準備します (同じでなければ、暗号化ディスクを解錠するためのヘッダーファイルを別にする意味がありません)。そして header.img を移動します:

# mv header.img /mnt/boot

Follow the installation procedure up to the mkinitcpio step (you should now be arch-chrooted inside the encrypted system).

There are two options for initramfs to support a detached LUKS header.

systemd フックを使う

First create /etc/crypttab.initramfs and add the encrypted device to it. The syntax is defined in crypttab(5):

/etc/crypttab.initramfs
MyStorage    PARTUUID=00000000-0000-0000-0000-000000000000    none    header=/boot/header.img

systemd を使用するように /etc/mkinitcpio.conf を編集して FILES にヘッダーを追加してください:

/etc/mkinitcpio.conf
FILES="/boot/header.img"

HOOKS="... systemd ... block sd-encrypt sd-lvm2 filesystems ..."

initramfs を再作成したら設定は完了です。

ノート: No cryptsetup parameters need to be passed to the kernel command line, since/etc/crypttab.initramfs will be added as /etc/crypttab in the initramfs. If you wish to specify them in the kernel command line see systemd-cryptsetup-generator(8) for the supported options.

encrypt フックを修正する

This method shows how to modify the encrypt hook in order to use a remote LUKS header. Now the encrypt hook has to be modified to let cryptsetup use the separate header (FS#42851; base source and idea for these changes published on the BBS). Make a copy so it is not overwritten on a mkinitcpio update:

# cp /usr/lib/initcpio/hooks/encrypt /etc/initcpio/hooks/encrypt2
# cp /usr/lib/initcpio/install/encrypt /etc/initcpio/install/encrypt2
/etc/initcpio/hooks/encrypt2 (around line 52)
warn_deprecated() {
    echo "The syntax 'root=${root}' where '${root}' is an encrypted volume is deprecated"
    echo "Use 'cryptdevice=${root}:root root=/dev/mapper/root' instead."
}

local headerFlag=false
for cryptopt in ${cryptoptions//,/ }; do
    case ${cryptopt} in
        allow-discards)
            cryptargs="${cryptargs} --allow-discards"
            ;;  
        header)
            cryptargs="${cryptargs} --header /boot/header.img"
            headerFlag=true
            ;;
        *)  
            echo "Encryption option '${cryptopt}' not known, ignoring." >&2 
            ;;  
    esac
done

if resolved=$(resolve_device "${cryptdev}" ${rootdelay}); then
    if $headerFlag || cryptsetup isLuks ${resolved} >/dev/null 2>&1; then
        [ ${DEPRECATED_CRYPT} -eq 1 ] && warn_deprecated
        dopassphrase=1

Now edit the mkinitcpio.conf to add the encrypt2 and lvm2 hooks, the header.img to FILES and the loop to MODULES, apart from other configuration the system requires:

/etc/mkinitcpio.conf
MODULES="loop"

FILES="/boot/header.img"

HOOKS="... encrypt2 lvm2 ... filesystems ..."

This is required so the LUKS header is available on boot allowing the decryption of the system, exempting us from a more complicated setup to mount another separate USB device in order to access the header. After this set up the initramfs is created.

次にブートローダーを設定して cryptdevice= で新しい header オプションも設定します:

cryptdevice=/dev/sdX:enc:header

To finish, following Dm-crypt/システム全体の暗号化#インストール後 is particularly useful with a /boot partition on an USB storage medium.

ヒント: You will notice that since the system partition only has "random" data, it does not have a partition table and by that an UUID or a name. But you can still have a consistent mapping using the disk id under /dev/disk/by-id/