[[ Шифрование разделов dm-crypt на Getnoo ]]

Gentoo

Шифрование разделов dm-crypt на Getnoo

Модуль dm-crypt включен в ядро >=2.6.4

Установка

emerge sys-fs/cryptsetup -av

Настройки ядра

Device Drivers  --->
  [*] Block devices  --->
  [*] Multiple devices driver support (RAID and LVM)  --->
    <*>   Device mapper support
    <M>   Crypt target support
-*- Cryptographic API  --->
  <M>   SHA224 and SHA256 digest algorithm
  <M>   SHA384 and SHA512 digest algorithms

Подгружаем модуль

modprobe dm_crypt

Шифрование раздела

Создание шифрованного раздела на /dev/sda5

cryptsetup luksFormat /dev/sda5

<note|> Опции шифрования по умолчанию

plain: aes-cbc-essiv:sha256, Key: 256 bits, Password hashing: ripemd160
LUKS1: aes-cbc-essiv:sha256, Key: 256 bits, LUKS header hashing: sha1

</WRAP>

В некоторых манах сначала предлагается затереть имеющиеся данные на диске командой

dd if=/dev/urandom of=/dev/sda5

возможно в это есть какой-то смысл

Are you sure? (Type uppercase yes):

Правильный ответ: YES
Вводим пароль

Enter LUKS passphrase:

Подтверждаем пароль

Verify passphrase:

Проверим

cfdisk /dev/sda
Name      Flags     Part Type     FS Type       [Label]     Size (MB)
-----------------------------------------------------------------------
sda5                 Logical      crypto_LUKS               27998.86

Информация о разделе

cryptsetup luksDump /dev/sda5

Отдельно вывести UUID раздела

cryptsetup luksUUID /dev/sda5

Подключение раздела

Открываем раздел с именем data1

cryptsetup luksOpen /dev/sda5 data1

При этом создастся устройство /dev/mapper/data1

ls -l /dev/mapper/
crw-rw----  1 root root 10, 236 May 20 10:26 control
lrwxrwxrwx  1 root root       7 May 20 10:40 data1 -> ../dm-0

Информация о подключенном разделе

dmsetup info data1

Это устройство в расшифрованном виде, работать с ним можно как с обычным блочным устройством.
А следовательно для начала форматируем его

mkfs.ext3 -j /dev/mapper/data1

И примантируем

mount /dev/mapper/data1 /mnt/tmp

Отключение раздела

Отмонтировать

umount /mnt/tmp

Закрыть раздел

cryptsetup luksClose data1 

Смена пароля

Добавим еще один ключ для доступа

cryptsetup luksAddKey /dev/sda5

Вводим текущий пароль (или их может быть несколько)

Enter any LUKS passphrase: 

Далее вводим новый пароль для нового слота.

Enter new passphrase for key slot: 

Смотрим на результат

cryptsetup luksDump /dev/sdb1 

Теперь когда у нас есть второй слот
Key Slot 0: ENABLED
Key Slot 1: ENABLED
Можно удалить первый - он же нулевой

cryptsetup luksDelKey 0

Удалить единственный и последний пароль нельзя.
Что бы удалить Key Slot 0 надо создать Key Slot 1, так и происходит смена пароля.


Файл-Ключ

Можно использовать файл-ключ вместо пароля и носить его с собой на флешке.
Создание ключа

dd if=/dev/random of=/media/flashka/data1.key bs=1 count=256

Создание с указание ключа вместо пароля

cryptsetup luksFormat /dev/sda5 /media/flashka/data1.key

Добавление ключа к существующему разделу

cryptsetup luksAddKey /dev/sda5 /media/flashka/data1.key

Открытие колючем

cryptsetup luksOpen /dev/sda5 data1 --key-file=/media/flashka/data1.key

Подключение при загрузке

Ручной ввод пароля

/etc/fstab

...
/dev/mapper/data1  /mnt/tmp ext3 noatime 0 1

/etc/conf.d/dmcrypt

...

target=data1
source='/dev/sda5'

Добавить в автозагрузку

rc-update add dmcrypt boot

Этот вариант предполагает ручной ввод пароля при загрузке компьютера



Обсуждение

Aleksey, 2021/11/19 15:26

luksDelKey заменено на luksKillSlot

Ваш комментарий. Вики-синтаксис разрешён:
11 +13​ = 
 
howto/gentoo/gentoo_dmcrypt.txt · Последнее изменение: 2022/08/31 14:53 — 127.0.0.1
Gentoo Linux Gentoo Linux Driven by DokuWiki