Linuxのディスク暗号化LUKS
LUKS(Linux Unified Key Setup)は、Linuxハードディスクパーティションの暗号化に標準を提供し、異なるLinuxリリースバージョンだけでなく、マルチユーザー/パスワードもサポートします.暗号化キーはパスワードとは独立しているため、パスワードが暗号化されていない場合は、ハードディスク(HDD)を再暗号化することなく、パスワードを迅速に変更できます.標準的なディスク上のフォーマットを提供することで、互換性の分散が容易になるだけでなく、複数のユーザーパスワードのセキュリティ管理も可能になります.ファイルシステムをマウントするには、まず暗号化されたボリュームを復号する必要があります.
ツール:cryptsetup(デフォルトでインストールされています)
共通パラメータ:luksFormat、luksOpen、luksClose、luksAddKey
cryptsetupを使用してパーティションを暗号化すると、このパーティションは直接マウントできなくなります.LUKSはdevice mapperメカニズムに基づく暗号化スキームでもある.このパーティションを使用するには、このパーティションをマッピングし、/dev/mapperというディレクトリにマッピングする必要があります.このマッピングをマウントするしか使用できません.しかし、マッピングを行うには復号パスワードを入力する必要があります.
注意:暗号化を解除するには、LUKSパーティションを再フォーマットする前に、パーティション内のファイルをバックアップする必要があります.
Crypsetupツールの暗号化の特徴:
Ø暗号化後、直接マウントできない
Ø暗号化後、ハードディスクが紛失してもデータが盗まれる心配はない
Øマウントするには、暗号化後にマッピングする必要があります
ツール:cryptsetup(デフォルトでインストールされています)
共通パラメータ:luksFormat、luksOpen、luksClose、luksAddKey
cryptsetupを使用してパーティションを暗号化すると、このパーティションは直接マウントできなくなります.LUKSはdevice mapperメカニズムに基づく暗号化スキームでもある.このパーティションを使用するには、このパーティションをマッピングし、/dev/mapperというディレクトリにマッピングする必要があります.このマッピングをマウントするしか使用できません.しかし、マッピングを行うには復号パスワードを入力する必要があります.
注意:暗号化を解除するには、LUKSパーティションを再フォーマットする前に、パーティション内のファイルをバックアップする必要があります.
Crypsetupツールの暗号化の特徴:
Ø暗号化後、直接マウントできない
Ø暗号化後、ハードディスクが紛失してもデータが盗まれる心配はない
Øマウントするには、暗号化後にマッピングする必要があります
- LUKS
- [root@rhel6 ~]# cryptsetup luksFormat /dev/vda8 // LUKS ( LUKS )
- WARNING!
- ========
- This will overwrite data on /dev/vda8 irrevocably.
-
- Are you sure? (Type uppercase yes): YES // YES
- Enter LUKS passphrase: //
- Verify passphrase:
-
-
- [root@rhel6 ~]# cryptsetup luksOpen /dev/vda8 luks_test // LUKS , /dev/mapper/ luks_test
- Enter passphrase for /dev/vda8: // luks LUKS
-
- 、 、
- [root@rhel6 ~]# mkfs.ext4 /dev/mapper/luks_test
- [root@rhel6 ~]# mount /dev/mapper/luks_test /luks/
-
- ,
- [root@rhel6 ~]# umount /luks/
- [root@rhel6 ~]# cryptsetup luksClose luks_test // LUKS
- [root@rhel6 ~]# mount /dev/vda8 /luks/ // /dev/vda8
- mount: unknown filesystem type 'crypto_LUKS'
-
- LUKS :
- [root@rhel6 ~]# dd if=/dev/urandom of=keyfile bs=1k count=4
- 4+0 records in
- 4+0 records out
- 4096 bytes (4.1 kB) copied, 0.00206882 s, 2.0 MB/s
- [root@rhel6 ~]# cryptsetup luksAddKey /dev/vda8 keyfile
- Enter any passphrase:
- [root@rhel6 ~]# vi /etc/crypttab
- name /dev/vda8 /root/keyfile luks
- [root@rhel6 ~]# vi /etc/fstab
- /dev/mapper/name /luks ext4 _netdev 0 0
-
- / / LUKS
- [root@rhel6 ~]# cryptsetup luksAddKey /dev/vda8
- Enter any passphrase:
- Enter new passphrase for key slot:
- Verify passphrase:
- [root@rhel6 ~]# cryptsetup luksRemoveKey /dev/vda8
- Enter LUKS passphrase to be deleted:
- [root@rhel6 ~]# cryptsetup luksAddKey /dev/vda8 keyfile
- Enter any passphrase: