Se criou volumes encriptados durante a instalação e associou-lhes pontos de montagem, ser-lhe-á pedido para introduzir, durante o arranque, a frase-chave para cada um desses volumes. O procedimento difere ligeiramente entre dm-crypt e loop-AES.
Para partições encriptadas utilizando o dm-crypt, durante o arranque, ser-lhe-á mostrada a seguinte pergunta:
A iniciar discos encriptados iniciais... cryptpart_crypt(a iniciar)
Introduza a frase-chave do LUKS:
Na primeira linha da pergunta, part é o nome da partição em causa, e.g. sda2 ou md0. Deve estar provavelmente a pensar para qual volume está a introduzir a frase-chave. Relaciona-se com o seu /home? Ou com /var? Claro que, se tiver apenas um volume encriptado, isto é fácil e pode apenas introduzir a frase-chave que utilizou quando configurou este volume. Se durante a instalação configurou mais de um volume encriptado, as notas que escreveu na última etapa em Secção 6.3.2.6, “Configurar Volumes Encriptados” vêm a calhar. Se antes não tomou nota antes do mapeamento entre o part e os pontos de montagem, ainda o pode encontrar em _crypt/etc/crypttab e /etc/fstab do seu novo sistema.
A pergunta pode parecer diferente quando um sistema de ficheiros raiz encriptado está montado. Isto depende de que gerador de initramfs foi utilizado para carregar o sistema. O exemplo abaixo é para um initramfs gerado utilizando initramfs-tools:
Inicio: A montar sistema de ficheiros raiz... ...
Inicio: A correr /scrips/local-top ...
Introduza a frase-passe do LUKS:
Não serão mostrados nenhuns caracteres (nem asteriscos) enquanto introduz a frase-chave. Se introduzir a frase-chave errada, tem mais duas tentativas para a corrigir. Após a terceira tentativa o processo de arranque irá saltar esse volume e continuar a montar o próximo sistema de ficheiros. Para mais informações por favor veja Secção 7.2.3, “Diagnóstico de problemas”.
Após introduzir todas as frases-passe o arranque deve continuar como normalmente.
Para partições encriptadas utilizando loop-AES ser-lhe-á mostrada a seguinte pergunta durante o arranque:
A verificar sistemas de ficheiros encriptados via loop. A configurar /dev/loopX(/ponto de montagem) Palavra-passe:
Não serão mostrados nenhuns caracteres (nem asteriscos) enquanto introduz a frase-chave. Se introduzir a frase-chave errada, tem mais duas tentativas para a corrigir. Após a terceira tentativa o processo de arranque irá saltar esse volume e continuar a montar o próximo sistema de ficheiros. Para mais informações por favor veja Secção 7.2.3, “Diagnóstico de problemas”.
Após introduzir todas as frases-passe o arranque deve continuar como normalmente.
Se alguns dos volumes encriptados não podem ser montados porque foi introduzida uma frase-chave errada, após o arranque terá de os montar manualmente. Existem vários casos.
O primeiro caso refere-se à partição raiz. Quando não está correctamente montada, o processo de arranque irá parar e você terá de reiniciar o computador para tentar novamente.
O caso mais fácil é para volumes encriptados que contém dados como o /home ou /srv. Após o arranque pode simplesmente montá-los manualmente. Para loop-AES isto é feito numa operação:
#mount/mount_pointPassword:
onde /mount_point deve ser trocado pelo directório em particular (e.g. /home). A única diferença de um mount usual é que lhe será pedido para introduzir a frase-chave para este volume.
Para o dm-crypt isto é um pouco mais complicado. Primeiro tem de registar os volumes com device mapper correndo:
#/etc/init.d/cryptdisks start
Isto irá pesquisar todos os volumes mencionados em /etc/crypttab e após introduzir as frases-chave correctas irá criar os dispositivos apropriados sob o directório /dev. (Volumes já registados serão passados à frente, para que possa repetir este comando várias vezes sem se preocupar.) Após o registo com sucesso pode simplesmente montar os volumes da forma usual:
#mount/mount_point
Se algum volume que contenha ficheiros de sistema não-críticos não puder ser montado (/usr ou /var), o sistema deve mesmo assim arrancar e você deve conseguir montar manualmente os volumes como no caso anterior. No entanto, também necessitará de (re)iniciar todos os serviços que correm normalmente no runlevel por omissão porque é muito provável que estes não tenham iniciado. A forma mais fácil de conseguir isto é mudar para o primeiro runlevel e voltar escrevendo
#init 1
na prompt da shell e carregando em Control+D quando lhe for pedida a password de root.