¿Cifrado Luks, encabezado en una unidad USB Dongle?

Voy a instalar Linux de la forma LUKS/LVM, para tener un disco encriptado.

Además, me gustaría poner el encabezado y la frase de contraseña en una llave USB.

Por lo tanto, en lugar de ingresar la frase de contraseña, solo conecto el dongle de la unidad USB.

¿Es posible y cómo?

Respuesta aceptada:

Estoy escribiendo ahora desde la máquina que funciona exactamente de esa manera.

1. Primero, deberá poner /boot completo carpeta en el dongle.
2. Cifre el disco con el archivo de clave y coloque el archivo de clave en el dongle de arranque también.

3. Editar /etc/crypttab , agrega esta línea

   sda2_crypt UUID=14-88 /dev/disk/by-uuid/88-14:/rootfs.key     luks,keyscript=/lib/cryptsetup/scripts/passdev
   

donde sda2_crypt es un nombre arbitrario, el primer UUID es de partición raíz encriptada, el segundo es de partición dongle y rootfs.key es el nombre del archivo de claves.

1. Luego actualice su /etc/fstab en consecuencia.
2. Montar dongle como /boot y haz update-initramfs

Esto debería ser suficiente. Diferentes instrucciones sugieren que agregue argumentos de arranque del kernel, pero en mi caso funcionó sin ellos. Si alguna vez desea usar una contraseña en lugar de un archivo de claves, simplemente edite /etc/crypttab y haz update-initramfs .