2022.06.12
もともと入っていたのは Ubuntu desktop だったのでそのままサーバーにする気はなかった
いつもは Ubuntu server にするけど dddvb-dkms (aur) を使うためだけにこれにした
しかし、ビルドできなかったので意味なかったかも
サーバーでもストレージを暗号化してみたいわよ、のトライ
ストレージのみが盗まれたときにしか効果を発揮しないけど、まぁやってみたかっただけだからよしとする
手書きがめんどくさすぎて調べたけどなさそうでつらみだった
生産的ではない
手動コマンドラインインストール自体が生産的ではないが?
久しぶりすぎて dhcpcd, openssh, sudo あたりを入れそこねたりした
インストールメディアで入りなおしになった
見るべき資料
ドライブの準備: LUKS2 での初期化は cryptsetup で普通に作らないといけない
cryptenroll がいい感じに作ってくれるような仕組みはない
つまり、パスフレーズを一度は作る必要がある
ハードが壊れたときのリカバリー用途に使えるので、機能を提供しないのにはそういう意図があってもおかしくないと思いました otofune.icon
/etc/mkinitcpio.conf の HOOKS に systemd sd-crypt を追加するときは末尾に足せばよい
/etc/crypttab と /etc/crypttab.initramfs は手動で書く必要がある
自動生成するスクリプト、なさそうだけどあるのかな otofune.icon
crypttab → crypttab.initramfs ぽいのは見つけたけどそうじゃないし、rootfs は書くなよみたいなことが crypttab の冒頭には書いてあるので謎である
なお rootfs に関しては、UUID で指定しておくとよさそう (後述)
/dev/disk/by-uuid をみて適当に加工した
マウントするための /usr/lib/systemd/systemd-cryptsetup はパス通ってないのでめんどうだけどこれを使う
unit 用らしい
initramfs に crypttab.initramfs を含める場合、Linux の cmdline は次のようにするとよい
options rd.luks.uuid=<uuid> root=/dev/mapper/<name>
rd.luks.uuid
このフラグで、起動時に復号化するデバイスの UUID を指定します。UUID が /etc/crypttab にある場合、そこに記載されているオプションが使用されます。
initramfs に含まれているからって root に直接 mapper を書いてもダメなので注意
さらっと Arch Wiki 探しても辿れなかったため困っていた otofune.icon
LUKS のときに設定する cmdline を調べてぇ… って遠回りをした