我能找到的所有有關加密資料恢復的帖子都涉及特定情況。我目前擁有正常運行的分區和目錄,但希望在出現問題時最大限度地提高恢復資料的機會(除了備份之外)。根據以下設置,我應該將哪些資訊(例如密鑰、密碼、配置等)保留在冷存儲中?
Ubuntu root 安裝在 LUKS 加密的磁碟機上。我有第二個硬碟,它也是 LUKS 加密的,並且設定為在登入時自動安裝。另外,我的主目錄安裝有 ecryptfs。
我知道對於 ecryptfs,我應該儲存 ecryptfs-unwrap-passphrase 的輸出,但是應該對每個 LUKS 分區做什麼?我依稀記得應該儲存一些其他密碼,以防特定分區頭資訊損壞。
感謝您的協助。順便說一句,如果有人對冷存儲感興趣,我計劃簡單地創建 H 級(高糾錯)二維碼,以便與實際數據作為文本一起打印到紙張上。
答案1
在終端螢幕上執行 ecryptfs-unwrap-passphrase 並記下輸出以進行災難復原。
- 在終端機畫面中輸入 ecryptfs-unwrap-passphrase
- 它會提示您輸入“密碼:”,它需要您的使用者登入密碼
- 輸出將類似於此範例“1b6acbada5e3a61ebe324a4745e61ba8”,32 個字元的輸出是您需要記下並儲存在安全位置的“密碼”。
要在將來恢復您的數據,請遵循本指南。
http://www.howtogeek.com/116297/how-to-recover-an-encrypted-home-directory-on-ubuntu/
答案2
對於 LUKS,唯一對解密至關重要的資料是 LUKS 標頭。標頭可以透過 備份到檔案cryptsetup luksHeaderBackup並透過 還原cryptsetup luksHeaderRestore。看man cryptsetup:
luksHeaderBackup <device> --header-backup-file <file>儲存 LUKS 標頭和鍵槽區域的二進位備份。
注意:使用“-”作為檔案名稱會將標頭備份寫入名為“-”的檔案中。
警告:此備份檔案和備份時有效的密碼允許解密 LUKS 資料區域,即使後來更改了密碼或從 LUKS 裝置中刪除了密碼。另請注意,使用標頭備份後,您將無法透過覆寫標頭和鍵槽來安全地擦除 LUKS 裝置。您需要另外安全地擦除所有標頭備份或覆蓋加密的資料區域。第二種選擇較不安全,因為某些磁區可以倖存,例如由於缺陷管理。
luksHeaderRestore <device> --header-backup-file <file>從指定檔案還原 LUKS 標頭和鍵槽區域的二進位備份。
注意:使用“-”作為檔案名稱將從名為“-”的檔案中讀取標頭備份。
警告:標頭和金鑰槽將被替換,之後只有備份中的密碼才有效。
此指令要求裝置上已有的 LUKS 標頭和標頭備份的主金鑰大小和資料偏移量相符。或者,如果裝置上沒有 LUKS 標頭,備份也會寫入其中。