Для автоматической расшифровки LUKS разделов и их монтирования можно использовать небольшой bash скрипт, который запускается при старте системы. Код скрипта приведён в статье.
Причина написания этой статьи: "все диски необходимо шифровать!". Это нужно не только на случай утери устройства, но и на случай замены на новое. Зачастую об этом вспоминаешь только после того, как выбросил незашифрованный носитель. После чего молишься, чтобы его на свалке никто никогда не нашёл. Но чтобы шифрование не превратилось в боль, оно должно открываться незаметно...
Далее действия для создания скрипта делаем от лица root пользователя.
Создаём файл /root/luks_passwd пишем пароль для расшифровки тома.
Создаём скрипт /root/luks_unlock, который будет разблокировать и монтировать раздел:
key_file='/root/luks_passwd' # путь к файлу с ключом
mount_point='/mnt/files' # точка монтирования
UUID='658f0eb8-fdc6-4440-a8fd-46b7bc8ae0ba' # UUID диска, который надо примонтировать к точке
name='files' # название диска для mapper
# определяем имя диска по его UUID (напр. /dev/sda1)
disk=''
while [[ ${#disk} == 0 ]]; do
# диск может подключаться не сразу после старта системы, поэтому делаем много попыток с задержко
echo "Получаем путь к диску по его UUID=${UUID}"
disk=$( blkid | grep ${UUID} | awk '{print $1}' | tr -d ':|\n' )
if [[ ${#disk} == 0 ]]; then
sleep 5
else
echo "Диск ${name} найден тут: ${disk}"
fi
done
# расшифровываем диск
while [[ ! -e /dev/mapper/${name} ]]; do
echo "Расшифровываем диск ${name}: ${disk}"
cat ${key_file} | cryptsetup luksOpen ${disk} ${name} -
if [[ ! -e /dev/mapper/${name} ]]; then
sleep 5
else
echo "Диск успешно расшифрован ${name}: ${disk}"
fi
done
# монтируем
while [[ "$( lsblk -o MOUNTPOINT | grep -i ${mount_point} | wc -l | tr -d '\n' )" == 0 ]]; do
echo "Монтируем ${name}: ${disk}"
mount /dev/mapper/${name} ${mount_point}
sleep 5
done
Ставим скрипт /root/luks_unlock на автозагрузку через крон. Для этого можно в файле /etc/crontab добавить в конец такую строку:
@reboot root bash /root/luks_unlock
Но этот файл затрётся при полном обновлении системы (например, через команду do-release-upgrade в Ubuntu). Поэтому лучше записать в персональные cron задачи. Для этого выполняем "crontab -e" и пишем в конец:
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin@reboot bash /root/luks_unlock
Обратите внимание, что если не задать SHELL и PATH, то скрипт не выполнится корректно, потому что ему будет непонятно, откуда брать утилиты "lsblk" и "blkid". А вот в общесистемном crontab файле эти директивы определены.
