roles/base/cryptsetup-helper/files/cryptroot

   1 #!/bin/sh
   2 #
   3 ################################################
   4 ### Managed by someone's ansible provisioner ###
   5 ################################################
   6 # Part of: https://git.somenet.org/root/pub/somesible.git
   7 # 2017-2024 by someone <someone@somenet.org>
   8 #
   9
  10 PREREQ="cryptroot-prepare"
  11
  12 #
  13 # Standard initramfs preamble
  14 #
  15 prereqs()
  16 {
  17         # Make sure that cryptroot is run last in local-top
  18         local req
  19         for req in "${0%/*}"/*; do
  20                 script="${req##*/}"
  21                 if [ "$script" != "${0##*/}" ]; then
  22                         printf '%s\n' "$script"
  23                 fi
  24         done
  25 }
  26
  27 case $1 in
  28 prereqs)
  29         prereqs
  30         exit 0
  31         ;;
  32 esac
  33
  34 . /scripts/functions
  35
  36 [ -f /lib/cryptsetup/functions ] || return 0
  37 . /lib/cryptsetup/functions
  38
  39
  40 # wait_for_source()
  41 #   Wait for encrypted $CRYPTTAB_SOURCE . Set $CRYPTTAB_SOURCE
  42 #   to its normalized device name when it shows up;
  43 #   return 1 if timeout.
  44 wait_for_source() {
  45     wait_for_udev 10
  46
  47     if crypttab_resolve_source; then
  48         # the device is here already, no need to loop
  49         return 0
  50     fi
  51
  52     # If the source device hasn't shown up yet, give it a little while
  53     # to allow for asynchronous device discovery (e.g. USB).
  54     #
  55     # We also need to take into account RAID or other devices that may
  56     # only be available on local-block stage. So, wait 5 seconds upfront,
  57     # in local-top; if that fails, end execution relying on local-block
  58     # invocations. Allow $ROOTDELAY/4 invocations with 1s sleep times (with
  59     # a minimum of 20 invocations), and if after that we still fail, then it's
  60     # really time to give-up. Variable $initrd_cnt tracks the re-invocations.
  61     #
  62     # Part of the lines below has been taken from initramfs-tools
  63     # scripts/local's local_device_setup(), as suggested per
  64     # https://launchpad.net/bugs/164044 .
  65
  66     local slumber=5
  67     if [ "${CRYPTROOT_STAGE-}" = "local-block" ]; then
  68          slumber=1
  69     fi
  70
  71     cryptsetup_message "Waiting for encrypted source device $CRYPTTAB_SOURCE..."
  72
  73     while [ $slumber -gt 0 ]; do
  74         sleep 1
  75
  76         if crypttab_resolve_source; then
  77             wait_for_udev 10
  78             return 0
  79         fi
  80
  81         slumber=$(( $slumber - 1 ))
  82     done
  83     return 1
  84 }
  85
  86 # setup_mapping()
  87 #   Set up a crypttab(5) mapping defined by $CRYPTTAB_NAME,
  88 #   $CRYPTTAB_SOURCE, $CRYPTTAB_KEY, $CRYPTTAB_OPTIONS.
  89 setup_mapping() {
  90     local dev initrd_cnt
  91
  92     # We control here the number of re-invocations of this script from
  93     # local-block - the heuristic is $ROOTDELAY/4, with a minimum of 20.
  94
  95     if [ -f "$CRYPTROOT_COUNT_FILE" ]; then
  96         initrd_cnt="$(cat <"$CRYPTROOT_COUNT_FILE")"
  97     else
  98         initrd_cnt="${ROOTDELAY:-180}"
  99         initrd_cnt=$(( initrd_cnt/4 ))
 100         if [ $initrd_cnt -lt 20 ]; then
 101             initrd_cnt=20
 102         fi
 103         echo "$initrd_cnt" >"$CRYPTROOT_COUNT_FILE"
 104     fi
 105
 106     # The same target can be specified multiple times
 107     # e.g. root and resume lvs-on-lvm-on-crypto
 108     if dm_blkdevname "$CRYPTTAB_NAME" >/dev/null; then
 109         return 0
 110     fi
 111
 112     crypttab_parse_options --export --missing-path=fail || return 1
 113
 114     if ! wait_for_source; then
 115         if [ $initrd_cnt -eq 0 ]; then
 116             # we've given up
 117             if [ -n "$panic" ]; then
 118                 panic "ALERT! encrypted source device $CRYPTTAB_SOURCE does not exist, can't unlock $CRYPTTAB_NAME."
 119             else
 120                 # let the user fix matters if they can
 121                 echo "  ALERT! encrypted source device $CRYPTTAB_SOURCE does not exist, can't unlock $CRYPTTAB_NAME."
 122                 echo "  Check cryptopts=source= bootarg: cat /proc/cmdline"
 123                 echo "  or missing modules, devices: cat /proc/modules; ls /dev"
 124                 panic "Dropping to a shell."
 125             fi
 126             return 1 # can't continue because environment is lost
 127         else
 128             initrd_cnt=$(( initrd_cnt - 1 ))
 129             echo "$initrd_cnt" >"$CRYPTROOT_COUNT_FILE"
 130             return 0 # allow some attempts on local-block stage
 131         fi
 132     fi
 133
 134     # our `cryptroot-unlock` script searches for cryptsetup processes
 135     # with a given CRYPTTAB_NAME it their environment
 136     export CRYPTTAB_NAME
 137
 138     if [ -z "${CRYPTTAB_OPTION_keyscript+x}" ]; then
 139         # no keyscript: interactive unlocking, or key file
 140
 141         if [ "${CRYPTTAB_KEY#/FIXME-initramfs-rootmnt/}" != "$CRYPTTAB_KEY" ]; then
 142             # skip the mapping for now if the root FS is not mounted yet
 143             sed -rn 's/^\s*[^#[:blank:]]\S*\s+(\S+)\s.*/\1/p' /proc/mounts | grep -Fxq -- "$rootmnt" || return 1
 144             # substitute the "/FIXME-initramfs-rootmnt/" prefix by the real root FS mountpoint otherwise
 145             CRYPTTAB_KEY="$rootmnt/${CRYPTTAB_KEY#/FIXME-initramfs-rootmnt/}"
 146         fi
 147
 148         if [ "$CRYPTTAB_KEY" != "none" ]; then
 149             if [ ! -e "$CRYPTTAB_KEY" ]; then
 150                 cryptsetup_message "ERROR: Skipping target $CRYPTTAB_NAME: non-existing key file $CRYPTTAB_KEY"
 151                 return 1
 152             fi
 153             # try only once if we have a key file
 154             CRYPTTAB_OPTION_tries=1
 155         fi
 156     fi
 157
 158     local count=0 maxtries="${CRYPTTAB_OPTION_tries:-3}" fstype vg rv
 159     while [ $maxtries -le 0 ] || [ $count -lt $maxtries ]; do
 160         if [ -z "${CRYPTTAB_OPTION_keyscript+x}" ] && [ "$CRYPTTAB_KEY" != "none" ]; then
 161             # unlock via keyfile
 162             unlock_mapping "$CRYPTTAB_KEY"
 163             # added by <someone@somenet.org>
 164             urv=$?
 165             if [ $urv -ne 0 ]; then
 166                 cryptsetup_message "ERROR: Failed to unlock $CRYPTTAB_NAME with $CRYPTTAB_KEY"
 167                 /lib/cryptsetup/askpass "Try interactively. Passphrase: " | unlock_mapping
 168             fi
 169             # / added by <someone@somenet.org>
 170         else
 171             # unlock interactively or via keyscript
 172             run_keyscript "$count" | unlock_mapping
 173             # added by <someone@somenet.org>
 174             urv=$?
 175             if [ $urv -ne 0 ]; then
 176                 cryptsetup_message "ERROR: Failed to unlock $CRYPTTAB_NAME with $CRYPTTAB_KEY"
 177                 /lib/cryptsetup/askpass "Try interactively. Passphrase: " | unlock_mapping
 178             fi
 179             # / added by <someone@somenet.org>
 180         fi
 181         rv=$?
 182         count=$(( $count + 1 ))
 183
 184         if [ $rv -ne 0 ]; then
 185             cryptsetup_message "ERROR: $CRYPTTAB_NAME: cryptsetup failed, bad password or options?"
 186             sleep 1
 187             continue
 188         elif ! dev="$(dm_blkdevname "$CRYPTTAB_NAME")"; then
 189             cryptsetup_message "ERROR: $CRYPTTAB_NAME: unknown error setting up device mapping"
 190             return 1
 191         fi
 192
 193         if ! fstype="$(get_fstype "$dev")" || [ "$fstype" = "unknown" ]; then
 194             if [ "$CRYPTTAB_TYPE" != "luks" ]; then
 195                 # bad password for plain dm-crypt device?  or mkfs not run yet?
 196                 cryptsetup_message "ERROR: $CRYPTTAB_NAME: unknown fstype, bad password or options?"
 197                 wait_for_udev 10
 198                 /sbin/cryptsetup remove -- "$CRYPTTAB_NAME"
 199                 sleep 1
 200                 continue
 201             fi
 202         fi
 203
 204         cryptsetup_message "$CRYPTTAB_NAME: set up successfully"
 205         wait_for_udev 10
 206         return 0
 207     done
 208
 209     cryptsetup_message "ERROR: $CRYPTTAB_NAME: maximum number of tries exceeded"
 210     exit 1
 211 }
 212
 213
 214 #######################################################################
 215 # Begin real processing
 216
 217 mkdir -p /cryptroot # might not exist yet if the main system has no crypttab(5)
 218
 219 # Do we have any kernel boot arguments?
 220 if ! grep -qE '^(.*\s)?cryptopts=' /proc/cmdline; then
 221     # ensure $TABFILE exists and has a mtime greater than the boot time
 222     # (existing $TABFILE is preserved)
 223     touch -- "$TABFILE"
 224 else
 225     # let the read builtin unescape the '\' as GRUB substitutes '\' by '\\' in the cmdline
 226     tr ' ' '\n' </proc/cmdline | sed -n 's/^cryptopts=//p' | while IFS= read cryptopts; do
 227         # skip empty values (which can be used to disable the initramfs
 228         # scripts for a particular boot, cf. #873840)
 229         [ -n "$cryptopts" ] || continue
 230         unset -v target source key options
 231
 232         IFS=","
 233         for x in $cryptopts; do
 234             case "$x" in
 235                 target=*) target="${x#target=}";;
 236                 source=*) source="${x#source=}";;
 237                 key=*) key="${x#key=}";;
 238                 *) options="${options+$options,}$x";;
 239             esac
 240         done
 241
 242         if [ -z "${source:+x}" ]; then
 243             cryptsetup_message "ERROR: Missing source= value in kernel parameter cryptopts=$cryptopts"
 244         else
 245             # preserve mangling
 246             printf '%s %s %s %s\n' "${target:-cryptroot}" "$source" "${key:-none}" "${options-}"
 247         fi
 248     done >"$TABFILE"
 249 fi
 250
 251 # Do we have any settings from the $TABFILE?
 252 if [ -s "$TABFILE" ]; then
 253     # Create locking directory before invoking cryptsetup(8) to avoid warnings
 254     mkdir -pm0700 /run/cryptsetup
 255     modprobe -q dm_crypt
 256
 257     crypttab_foreach_entry setup_mapping
 258 fi
 259
 260 exit 0