Noch einfacher ist die Entsperrung der Root-Partition per USB-Stick. Das ist allerdings nur für absolute Bequemlichkeit zu empfehlen, z.B. für einen HTPC der aus welchen Gründen auch immer trotzdem vollverschlüsselt ist.
Dazu bereitet man einen USB-Stick wie folgt vor: Das Label muss eindeutig sein (kein Hantieren mit UUIDs). Unter Linux am einfachsten mit e2label:
root@linux:~# e2label /dev/sdz1 keystickAuf dem Stick eine Datei keyfile erstellen:
root@linux:~# dd if=/dev/random of=/mnt/keystick/keyfile bs=2048 count=1Das Keyfile für die Root-Partition einlesen, i.d.R. Partition 2 (1 ist /boot):
root@linux:~# cryptsetup luksAddKey /dev/sda2 /mnt/keystick/keyfileJetzt wird noch einmal das Passwort abgefragt, danach geht das Entsperren auch mit dem keyfile, das muss crypttab aber wissen:
/etc/crypttab
sda2_crypt UUID=01234567-0123-0123-0123-012345678901 dev/disk/by-label/keystick:/keyfile:10 luks,discard,x-initrd.attach,keyscript=passdevDas "none" an Stelle 3 ersetzen wir also durch den Pfad zum Keyfile, wichtig ist auch unbedingt keyscript=passdev am Ende einzufügen.
update-grub und update-initramfs -u laufen lassen.
Das wars schon. Steckt der Stick dran bootet Linux durch, wenn nicht - Passwort.
update-grub und update-initramfs -u gemacht?
manche initramfs haben kein USB-Support, in /etc/initramfs-tools/modules die Module usb-storage und usbhid einfügen, dann nochmal update-initramfs -u