暗号化されたデータの回復に関して私が見つけた投稿はすべて、特定の状況に関するものです。現在、パーティションとディレクトリは正常に機能していますが、何か問題が発生した場合にデータを回復できる可能性を最大限に高めたいと考えています (バックアップに加えて)。次の設定では、コールド ストレージにどのような情報 (キー、パスフレーズ、構成など) を保存する必要がありますか?
Ubuntu ルートは LUKS で暗号化されたドライブにインストールされています。2 台目の HDD も LUKS で暗号化されており、ログイン時に自動的にマウントされるように設定されています。さらに、ホーム ディレクトリは ecryptfs でマウントされています。
ecryptfs の場合、ecryptfs-unwrap-passphrase の出力を保存する必要があることはわかっていますが、LUKS パーティションごとに何をすればよいのでしょうか。特定のパーティション ヘッダー情報が破損した場合に備えて、保存する必要がある他のパスフレーズがあることを漠然と覚えています。
ご協力ありがとうございます。余談ですが、コールド ストレージにご興味がある方のために、実際のデータをテキストとして紙に印刷するためのレベル H (高エラー訂正) QR コードを作成する予定です。
答え1
ターミナル画面で ecryptfs-unwrap-passphrase を実行し、災害復旧のために出力を書き留めます。
- ターミナル画面にecryptfs-unwrap-passphraseと入力します
- 「パスフレーズ:」というプロンプトが表示され、ユーザーのログインパスワードが必要になります。
- 出力は、この例「1b6acbada5e3a61ebe324a4745e61ba8」のようになります。32 文字の出力は「パスフレーズ」であり、書き留めて安全な場所に保管する必要があります。
将来データを回復するには、このガイドに従ってください。
http://www.howtogeek.com/116297/ubuntu で暗号化されたホームディレクトリを回復する方法/
答え2
LUKS の場合、復号化に重要なデータは LUKS ヘッダーのみです。ヘッダーは でファイルにバックアップしcryptsetup luksHeaderBackup、 で復元できますcryptsetup luksHeaderRestore。 を参照してくださいman cryptsetup。
luksHeaderBackup <device> --header-backup-file <file>LUKS ヘッダーとキースロット領域のバイナリ バックアップを保存します。
注意: ファイル名として「-」を使用すると、ヘッダー バックアップが「-」という名前のファイルに書き込まれます。
警告: このバックアップ ファイルとバックアップ時に有効なパスフレーズを使用すると、パスフレーズが後で変更されたり、LUKS デバイスから削除されたりした場合でも、LUKS データ領域の暗号化を解除できます。また、ヘッダー バックアップを使用すると、ヘッダーとキー スロットを上書きするだけで LUKS デバイスを安全に消去することができなくなることに注意してください。すべてのヘッダー バックアップも安全に消去するか、暗号化されたデータ領域も上書きする必要があります。2 番目のオプションは、欠陥管理などの理由で一部のセクターが残る可能性があるため、安全性が低くなります。
luksHeaderRestore <device> --header-backup-file <file>指定されたファイルから LUKS ヘッダーとキースロット領域のバイナリ バックアップを復元します。
注: ファイル名として「-」を使用すると、「-」という名前のファイルからヘッダー バックアップが読み取られます。
警告: ヘッダーとキースロットは置き換えられ、その後はバックアップからのパスフレーズのみが機能します。
このコマンドでは、デバイスにすでに存在する LUKS ヘッダーとヘッダー バックアップのマスター キー サイズとデータ オフセットが一致している必要があります。デバイスに LUKS ヘッダーがない場合は、バックアップもそこに書き込まれます。