LUKS Dağı şifrelenmiş sabit sürücüyü açılışta


24

Bir SSD cihazında Xubuntu 14.04 var ( HOME , kurulum sırasında doğru bir şekilde şifrelenmiş), ayrıca / mnt / hdd içine yerleştirmek istediğim ekstra veri içeren şifreli bir bölüme sahip bir HDD'm var . Bunları yapmak için sonraki adımları takip ettim:

(Daha önce bu yazıyı takiben diski LUKS ile şifrelemiştim http://www.marclewis.com/2011/04/02/luks-encrypted-disks-under-ubuntu-1010/ )

UUID'yi kontrol edin

sudo blkid 
/dev/sda1: UUID="b3024cc1-93d1-439f-80ce-1b1ceeafda1e" TYPE="crypto_LUKS"

Bir keyfile olun benim sağ parola ile ve ona tasarrufu EV (ayrıca şifrelenir).

sudo dd if=/dev/urandom of=/home/[USERNAME]/.keyfiles/key_luks bs=1024 count=4
sudo chmod 0400 .keyfiles/key_luks

Anahtarı ekle

sudo cryptsetup luksAddKey /dev/sda1 /home/zeugor/.keyfiles/key_luks

/ Etc / crypttab içindeki yeni girdi

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e /home/[USERNAME]/.keyfiles/key_luks luks

İlk ramdisk'i güncelle

sudo update-initramfs -u -k all

Sonra sınamak için cryptdisks'i başlatmak için follow komutunu kullandım:

sudo cryptdisks_start hddencrypted 
 * Starting crypto disk...                                                       
 * hddencrypted (starting)..
 * hddencrypted (started)... 

Hddencrypted kontrol etmek için haritalandı:

ls /dev/mapper/
control  hddencrypted

Bir bağlama noktası oluştur

mkdir /mnt/hdd

/ Etc / fstab içine yeni giriş

/dev/mapper/hddencrypted /mnt/hdd ext4 defaults 0 2

Yeniden başlatmadan fstab'ı doğrula:

sudo mount -a

Şifrelenmiş bölümü önyüklemede tak

Şimdi önerdiğim gibi / mnt / hdd içine bağladım. Ancak bunu yeniden başlattıktan sonra otomatik olarak yapmak istiyorum. Ancak giriş yapmadan önce bu hatayı alıyorum:

the disk drive for /mnt/hdd is not ready yet or not permit

Bütün bunlar beni düşündürüyor bu / etc / crypttab olamaz benim bulunan keyfile erişimin EVDE (diğer şifreli bölüm). Sistemin şifrelenmeden takip ettiği sırayı bilmiyorum ve birimleri monte ediyorum. Benim ANA keyfile okuma erişimi vermek için benim HDD önce şifrelenmemiş edilmelidir.

Bunun neden olduğuna dair tüm içgörüleri takdir ediyorum.

GÜNCELLEME: Ben keyfile bulursanız / boot (hayır şifreli), yerine benim içinde / home / [KULLANICI ADI] (şifreli) / dev / sda1 da girişin güncelleme vs / / crypttab mükemmel önyükleme zamanında monte edilir.


Nasıl /home/$USERşifrelenir? LUKS veya ecryptfs tabanlı tam disk şifrelemesi?
David Foerster

Yanıtlar:


9

/ Boot dizinindeki bir anahtar dosya, / boot sistemindeki dosya sistemini bağlayabilen makinenizde başlatılan diğer herhangi bir işletim sistemi tarafından okunabilir. Bu nedenle, şifreleme gerçekten etkili değildir. Bu argüman şifrelenmemiş dosya sistemlerindeki tüm anahtar dosya konumları için geçerlidir.

Şifrelenmemiş dosya sistemlerinde anahtar dosyalardan kaçınmak için şifre çözme için bir şifre kullanılabilir. Cihaz için güçlü bir şifre oluşturun. Ardından, / etc / crypttab içindeki satırı değiştirin.

hddencrypted UUID=b3024cc1-93d1-439f-80ce-1b1ceeafda1e none luks

ve / etc / fstab içindeki girişi değiştirilmemiş halde tutun. Ubuntu 14.04 / 16.04 / 18.04, başlangıçta şifrenizi ister.


@ solt87'nin cevabını ve bu cevabı birleştirmek bu cevabı tamamlayacaktır.

6

Fstab içindeki "default" değerlerini değiştirirseniz işe yarar mı?

rw,suid,dev,exec,auto,user,async,relatime

( Mount man sayfasına göre, "kullanıcı" hariç "varsayılanlar" ile aynıdır.)


1

Emin olun hddencrypted bölüm listelenir sonra hem ev bölme /etc/fstabve /etc/crypttab. As crypttab (5)manpage devletler:

Crypttab'daki kayıtların sırası önemlidir, çünkü init betikleri crypttab boyunca sırayla yinelenerek kendi işlerini yapar.

Ayrıca bu noearlyseçeneği ikinci bölüme eklemeyi deneyebilirsiniz /etc/crypttab:

hddencrypted UUID=<...> /home/[USERNAME]/.keyfiles/key_luks luks,noearly

Normal bir durumda, ev bölme ekleyerek ilk monte edilmesi gerektiğini gösterebilir CRYPTDISKS_MOUNTiçinde /etc/default/cryptdisks, ancak kendisi şifreli olduğundan, ben iyi bir fikir olmaz bir his var.


1
Bu ubuntu tüm bölümleri şifresini çözmek ve daha sonra onları monte etmeye çalıştığı gibi çalışmayacak . Böylece anahtar dosyası kullanılamayacak.
Christian Wolf,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.