新しいLUKSキーを作成する

tag-icon tag-icon linux debian encryption mount disk-encryption
新しいLUKSキーを作成する

システムの起動時にディスクを自動マウントするようにしています。crypttab を使用し、パスワードはプレーンテキストでファイルに保存されています。

私の設定:

sda3_crypt UUID=my_id none luks,discard
wd_01 UUID=my_id /luks-keys/wd1 luks,timeout=180
wd-crypt UUID=my_id /luks-keys/wd1

sda3_crypt --> メインシステム

wd_01 --> マウントしたいディスク

wd-crypt --> マウントしたいluksパーティション

システムが起動し、メイン パスワードを入力してシス​​テムを起動した後、wd_01 を暗号化しません。

マウントポイントを fstab に追加すると、変更されます。起動時にメインのパスワードを入力すると、システムが起動し、その後 wd_01 の 2 番目のパスワードを要求しますが、crypttab で /root/luks-keys/wd1 にパスワードを入力したという事実は無視されます :/

ブロック:

NAME              MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                 8:0    0 111.8G  0 disk  
├─sda1              8:1    0   512M  0 part  /boot/efi
├─sda2              8:2    0   954M  0 part  /boot
└─sda3              8:3    0 110.4G  0 part  
  └─sda3_crypt    253:0    0 110.4G  0 crypt 
    ├─main-swap   253:1    0   7.5G  0 lvm   [SWAP]
    └─main-system 253:2    0 102.9G  0 lvm   /
sdb                 8:16   0   1.8T  0 disk  
└─sdb-crypt       253:4    0   1.8T  0 crypt /srv/dev-disk-by-label-wd01
sdc                 8:32   0   1.8T  0 disk  
└─seagate_01      253:3    0   1.8T  0 crypt /srv/dev-disk-by-label-seagate01

wd_01 は私の sdb で、wd-crypt は私の sdb-crypt です

答え1

まず、セキュリティ上の注意として、LUKS パスワードまたはキーを含むファイルを保護する必要があります。これはおそらく、OS ルート パーティションに暗号化されたパーティションを使用することを意味します。そのファイルを保護しないと、暗号化はあまり役に立ちません。

以下を、/dev/device-and-partパーティション (IE sda3) に置き換えます。

データや、手順で変更したファイルのバックアップを検討してください。間違えると、データが失われたり、システムが動作しなくなったりする可能性があります。

新しいLUKSキーを作成する

ランダム データからキーを作成し、root ユーザーのみがアクセスできるようにします。

sudo mkdir /etc/luks-keys/
sudo dd if=/dev/urandom of=/etc/luks-keys/name-of-key bs=512 count=8 iflag=fullblock
sudo chown root.root /etc/luks-keys/name-of-key
sudo chmod 400 /etc/luks-keys/name-of-key

次に、キーをパーティションに関連付けます。プロンプトで既存のパスワードを入力する必要があります。

sudo cryptsetup -v luksAddKey /dev/device-and-part /etc/luks-keys/name-of-key

それが機能していることを確認し、キー ファイルをテストします。

sudo cryptsetup open -v --test-passphrase /dev/device-and-part --key-file /etc/luks-keys/name-of-key

これで、キー ファイルのパスワードを使用して暗号化されたパーティションのロックを解除できるようになりました。

ロックを解除してマウント

パーティションの UUID を調べます。この一意の ID は、起動時にパーティションを識別するために使用されます。

sudo cryptsetup luksDump /dev/device-and-part | grep "UUID"

UUID_HERE と書いた部分にその値を使用します。マウントしたボリュームの名前を選択します (例: ) sda3_crypt。手順ではsda3を使用します。name_crypt

echo "name_crypt UUID=UUID_HERE /etc/luks-keys/name-of-key luks" | sudo tee -a /etc/crypttab

以下を使用して設定を確認します:

sudo cryptdisks_start  name_crypt

自動マウントするには fstab に追加します:

echo "/dev/mapper/name_crypt /media/path/to/mount ext4 defaults 0 2" | sudo tee -a /etc/fstab

ノート

これらの各コマンドを理解しておくと、見つかった問題をデバッグできるようになります。man dd man cryptsetup man fstabここで役立つ情報があります。私はこれらの手順を Debian 11 で実行しましたが、同じまたは同様のアプローチが、古い/新しい Debian リリース、Ubuntu、または同様の OS でも機能するはずです。

答え2

答えが見つかりました: sudo cryptsetup -v luksAddKeyを追加する必要があります

答え:https://blog.tinned-software.net/automount-a-luks-encrypted-volume-on-system-start/

関連情報