# ---------------------------------------------------------------------------------------
#
# Early decrypt partition using systemd-cryptsetup  - after upgrade Debian 12 -> Debia 13
#
# ---------------------------------------------------------------------------------------

RAW_PARTITION=/dev/md5
CRYPT_PARTITION=data
KEY_FILE=/etc/.cryptsetup-keys.d/${CRYPT_PARTITION}.key


# 0.) Create crypted partition
# =============================

# keyfile (1024 bit groß) erstellen
#
mkdir -p $(dirname "${KEY_FILE}")
head -c1024 /dev/urandom > ${KEY_FILE}

cryptsetup luksFormat $RAW_PARTITION "${KEY_FILE}"
cryptsetup luksAddKey -d "${KEY_FILE}" $RAW_PARTITION

cryptsetup luksOpen $RAW_PARTITION "${KEY_FILE}"




# 1) cryptsetup-initramfs entfernen
# =================================
#
# (cryptsetup selbst bleibt installiert!)
#
apt purge cryptsetup-initramfs


# update-initramfs -u -k all sollte nun durchlaufen
#
update-initramfs -u -k all


# 2) Sicherstellen, dass systemd die crypttab Einträge überhaupt verarbeitet
# ===========================================================================
#
# In Debian wurde systemd-cryptsetup als eigenes Paket aufgeteilt; wenn das fehlt, 
# werden nicht-root LUKS-Volumes aus /etc/crypttab u.U. nicht automatisch geöffnet. 
#
# Also:
#
#     apt install systemd-cryptsetup
#
apt install systemd-cryptsetup





# 3) /etc/crypttab anpassen (kein initramfs mehr)
# ===============================================
#
#     data UUID=a7e3afb8-f257-4e99-b37a-fdc579ec9e96 /etc/cryptsetup-keys.d/data.key luks,nofail
#
cat <<EOF >> /etc/crypttab

# <target name>   <source device>      <key file>  <options>
${CRYPT_PARTITION}   UUID=$(blkid -s UUID -o value ${RAW_PARTITION})  ${KEY_FILE} luks,nofail

EOF


# 4) /etc/fstab 
# =============
#
#     /dev/mapper/data /data ext4 defaults,nofail,x-systemd.device-timeout=30 0 2
#
cat <<EOF >> /etc/fstab

# /dev/mapper/${CRYPT_PARTITION} (LUKS device ${RAW_PARTITION})
/dev/mapper/${CRYPT_PARTITION}   /data ext4  defaults,nofail,x-systemd.device-timeout=30   0  2
EOF

systemctl daemon-reload


# 5) RAID (md5) muss beim Boot assembliert werden
#
apt install --reinstall mdadm
update-initramfs -u -k all