Когда я выполняю команду cryptsetup, она отвечает выводом командной строки: «Введите любую существующую парольную фразу:».
Я хочу прочитать это из консоли в свой скрипт и передать парольную фразу из самого скрипта, поскольку я расшифровываю много разделов и просить пользователя каждый раз вводить парольную фразу нецелесообразно.
Выполнение команды:
cryptsetup luksAddKey /dev/LUKS_device_name /etc/keyfile
Введите любую существующую парольную фразу:
Буду признателен за любую помощь по этому вопросу.
решение1
Мой ответ основан на необходимой функции ядра Linux.CONFIG_KEYS.
Там есть команда keyscript, предназначенная для того, что вам нужно:
https://github.com/gebi/keyctl_keyscript
Он используетСлужба хранения ключей ядра(который былвокруг в течение длительного времени) с командойkeyctlдля запроса и временного сохранения парольной фразы в памяти, если она еще не найдена, и использования ее для любых связанных вызовов нескольких cryptsetupкоманд. Вероятно, она включена в большинство дистрибутивов (например, в Debian пакеткриптонастройкаимеет это как /lib/cryptsetup/scripts/decrypt_keyctl).
Обычно его используют интегрированным в дистрибутив и настраивают в /etc/crypttabфайле, как в приведенном примере:
test1 /dev/sda1 test_pw luks,keyscript=decrypt_keyctl test2 /dev/sda2 test_pw luks,keyscript=decrypt_keyctl test3 /dev/sda3 test_other_pw luks,keyscript=decrypt_keyctl
Что приведет к запросу парольной фразы для test1, повторному использованию ответа для test2 (поскольку его идентификатор ключа такой же, как и у предыдущего, а парольная фраза уже была указана) и заданию нового вопроса для test3.
Теперь, если вы хотите использовать этот инструмент напрямую, а не вместе с интеграцией системы, вы можете запустить команду и передать ее напрямую в cryptsetup.
ОБНОВЛЯТЬ: Приведите полный пример, который можно воспроизвести, за исключением нескольких значений, которые будут зависеть от среды (здесь /dev/loop0и 969933847):
Создайте тестовое устройство LUKS из поддельного диска.Будь очень остороженчтоlosetup на самом делевернул /dev/loop0или отменил этот пример:
# dd if=/dev/zero seek=$(( 2 ** 30 - 1 )) bs=1 count=1 of=/tmp/block.img
1+0 records in
1+0 records out
1 byte copied, 6.0997e-05 s, 16.4 kB/s
# losetup --find --show /tmp/block.img
/dev/loop0
# echo -n goodpass | cryptsetup luksFormat /dev/loop0
# cryptsetup luksDump /dev/loop0
LUKS header information for /dev/loop0
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 256
MK digest: 4e 98 86 0b bf 63 3f 68 08 f5 cc 4f 61 ec 8c 19 71 c3 2a 33
MK salt: dc ce 7b a1 56 79 70 c5 02 ad ec 4c 85 c1 6f c1
af 50 f3 8c 89 b9 a9 3a 02 62 5c 2d 3f 7a 9d 52
MK iterations: 312000
UUID: 61a3a890-9564-4c98-866a-1216474b839e
Key Slot 0: ENABLED
Iterations: 2467468
Salt: 04 82 b5 b7 0b 90 e4 62 45 96 e3 c3 ef ba 6d 66
1d 93 6b e0 e9 03 40 3d 39 b9 fe 2c 6f 9e 46 e4
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Теперь попробуйте выполнить операции с ним, используя decrypt_keyctl. Текстовая фраза такая же, как и раньше: goodpass. Обратите внимание, что /etc/crypttabне используется и не требуется для этого примера, запущенного напрямую (в модифицированной версии Debian 9, здесь с двумя переменными, чтобы избежать безобидного предупреждения и по-прежнему выводить косметический «пример» при использовании вне ожидаемой среды):
# echo -n securepass > /tmp/newkey
# export CRYPTTAB_TRIED=0 CRYPTTAB_SOURCE=example
# /lib/cryptsetup/scripts/decrypt_keyctl lazy | cryptsetup luksOpen /dev/loop0 test1
Caching passphrase for example: ********
# cryptsetup close test1
# cryptsetup status test1
/dev/mapper/test1 is inactive.
# /lib/cryptsetup/scripts/decrypt_keyctl lazy | cryptsetup luksAddKey /dev/loop0 /tmp/newkey
Using cached passphrase for example.
# /lib/cryptsetup/scripts/decrypt_keyctl lazy | cryptsetup luksOpen /dev/loop0 test1
Using cached passphrase for example.
# cryptsetup status test1
/dev/mapper/test1 is active.
type: LUKS1
cipher: aes-xts-plain64
keysize: 256 bits
device: /dev/loop0
loop: /tmp/block.img
offset: 4096 sectors
size: 2093056 sectors
mode: read/write
Конечно, вы даже можете использовать его напрямую keyctl, вот следующий (действительно плохой) пример, все еще использующий предыдущее устройство Luks, который можно сделать сразу после этого:
# cryptsetup close test1
# echo -n goodpass | keyctl padd user lazy @u
969933847
# keyctl timeout 969933847 120
# keyctl pipe 969933847 | cryptsetup luksOpen /dev/loop0 test1 && echo OK
OK
# keyctl pipe 969933847 | cryptsetup luksAddKey /dev/loop0 /tmp/newkey && echo OK
OK
# keyctl clear @u
Очистка:
# cryptsetup close test1
# losetup -d /dev/loop0
# rm /tmp/block.img