Linuxのディスク暗号化LUKS

LUKS(Linux Unified Key Setup)は、Linuxハードディスクパーティションの暗号化に標準を提供し、異なるLinuxリリースバージョンだけでなく、マルチユーザー/パスワードもサポートします.暗号化キーはパスワードとは独立しているため、パスワードが暗号化されていない場合は、ハードディスク(HDD)を再暗号化することなく、パスワードを迅速に変更できます.標準的なディスク上のフォーマットを提供することで、互換性の分散が容易になるだけでなく、複数のユーザーパスワードのセキュリティ管理も可能になります.ファイルシステムをマウントするには、まず暗号化されたボリュームを復号する必要があります.
ツール:cryptsetup(デフォルトでインストールされています)
共通パラメータ:luksFormat、luksOpen、luksClose、luksAddKey
 
cryptsetupを使用してパーティションを暗号化すると、このパーティションは直接マウントできなくなります.LUKSはdevice mapperメカニズムに基づく暗号化スキームでもある.このパーティションを使用するには、このパーティションをマッピングし、/dev/mapperというディレクトリにマッピングする必要があります.このマッピングをマウントするしか使用できません.しかし、マッピングを行うには復号パスワードを入力する必要があります.
注意:暗号化を解除するには、LUKSパーティションを再フォーマットする前に、パーティション内のファイルをバックアップする必要があります.
 
Crypsetupツールの暗号化の特徴:
Ø暗号化後、直接マウントできない
Ø暗号化後、ハードディスクが紛失してもデータが盗まれる心配はない
Øマウントするには、暗号化後にマッピングする必要があります
 

   
   
   
   

    
    
    
    
   LUKS   
    
    
    
    
[root@rhel6 ~]# cryptsetup luksFormat /dev/vda8                     //     LUKS  (  LUKS  ) 
    
    
    
    
WARNING! 
    
    
    
    
======== 
    
    
    
    
This will overwrite data on /dev/vda8 irrevocably. 
    
    
    
    
 
    
    
    
    
Are you sure? (Type uppercase yes): YES                      //     YES 
    
    
    
    
Enter LUKS passphrase:                                   //       
    
    
    
    
Verify passphrase:  
    
    
    
    
 
    
    
    
    
     
    
    
    
    
[root@rhel6 ~]# cryptsetup luksOpen /dev/vda8 luks_test             //  LUKS  ,  /dev/mapper/       luks_test    
    
    
    
    
Enter passphrase for /dev/vda8:                                   //    luks      LUKS   
    
    
    
    
 
    
    
    
    
   、  、     
    
    
    
    
[root@rhel6 ~]# mkfs.ext4 /dev/mapper/luks_test  
    
    
    
    
[root@rhel6 ~]# mount /dev/mapper/luks_test /luks/ 
    
    
    
    
 
    
    
    
    
    ，       
    
    
    
    
[root@rhel6 ~]# umount /luks/ 
    
    
    
    
[root@rhel6 ~]# cryptsetup luksClose luks_test                      //  LUKS   
    
    
    
    
[root@rhel6 ~]# mount /dev/vda8 /luks/                           //      /dev/vda8   
    
    
    
    
mount: unknown filesystem type 'crypto_LUKS' 
    
    
    
    
 
    
    
    
    
        LUKS  ： 
    
    
    
    
[root@rhel6 ~]# dd if=/dev/urandom of=keyfile bs=1k count=4 
    
    
    
    
4+0 records in 
    
    
    
    
4+0 records out 
    
    
    
    
4096 bytes (4.1 kB) copied, 0.00206882 s, 2.0 MB/s 
    
    
    
    
[root@rhel6 ~]# cryptsetup luksAddKey /dev/vda8 keyfile 
    
    
    
    
Enter any passphrase:  
    
    
    
    
[root@rhel6 ~]# vi /etc/crypttab  
    
    
    
    
name    /dev/vda8       /root/keyfile   luks 
    
    
    
    
[root@rhel6 ~]# vi /etc/fstab
    
    
    
    
/dev/mapper/name        /luks                   ext4    _netdev         0 0 
    
    
    
    
 
    
    
    
    
  /  /  LUKS   
    
    
    
    
[root@rhel6 ~]# cryptsetup luksAddKey /dev/vda8 
    
    
    
    
Enter any passphrase:  
    
    
    
    
Enter new passphrase for key slot:  
    
    
    
    
Verify passphrase:  
    
    
    
    
[root@rhel6 ~]# cryptsetup luksRemoveKey /dev/vda8 
    
    
    
    
Enter LUKS passphrase to be deleted:  
    
    
    
    
[root@rhel6 ~]# cryptsetup luksAddKey /dev/vda8 keyfile 
    
    
    
    
Enter any passphrase: