LUKS sans clavier

Ici, on s’intéresse à comment déverrouiller une machine chiffrée avec LUKS sans devoir taper le mot de passe sur un clavier physiquement connecté à ladite machine — ce qui est particulièrement pratique dans le cas d’un serveur.

Déverrouillage par USB

# /etc/crypttab

### Partition racine ###
#
# La partition racine est la seule à être incluse dans l’initrd.
# On la déverrouille en utilisant le script `passdev` fourni par le paquet
# `cryptsetup` lui-même. Les arguments du script sont pris dans la troisième
# colonne de la ligne, sous la forme <périphérique>:<chemin>.
#
sda3_crypt UUID=ae41e4f8-67ec-423f-99b0-20a1573bd155 /dev/disk/by-label/MACLEF:/root.key luks,key-slot=1,keyscript=passdev,discard,x-initrd.attach

### Disques de données ###
#
# systemd-cryptsetup sait aussi aller lire la clef de déchiffrement sur un
# périphérique (USB ou autre), mais la syntaxe est inversée par rapport à celle
# du script passdev utilisé pour la partition racine ! Il faut ici spécifier
# <chemin>:<périphérique>. Pourquoi, SystemD ?!
#
data0_crypt UUID=ea804f3b-69a8-48df-8c61-bd5ed08d12a8 /data.key:/dev/disk/by-label/MACLEF luks,key-slot=1
data1_crypt UUID=938562ea-bce5-41a6-8793-037992ee1c6b /data.key:/dev/disk/by-label/MACLEF luks,key-slot=1

Références :

• /usr/share/doc/cryptsetup-initramfs/README.initramfs.gz, chapitre « The `passdev` keyscript ».
• https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=983708
• https://www.freedesktop.org/software/systemd/man/latest/crypttab.html

Déverrouillage par SSH

Voir /usr/share/doc/cryptsetup/README.Debian.gz, chapitre « Remotely unlock encrypted rootfs ».