LUKS
Sissejuhatus
Andmete krüpteerimist on võimalik teostada kahel viisil:
- failisüsteemi tasemel
- plokkseadme tasemel
Antud artiklis vaatleme plokkseadme tasemel krüpteerimist kasutades LUKS’i (Linux Unified Key Setup).
Sisu
Paigaldame haldustarkvara cryptsetup
sudo apt install cryptsetup
Cryptsetupi puhul kasutatavad olulisemad võtmed:
--cypher – määrab, millist krüptograafilist šiffrit kasutatakse. Vaikimisi on kasutusel aes-xts-plain64 --key-size – määrab võtmepikkuse. Vaikimisi on see 256. --hash – Määrab räsialgoritmi. Vaikimisi sha256. --use-random/--use-urandom – Määrab, millist juhuarvu generaatorit kasutatakse. Vaikimisi kasutatakse --use-random
Krüpteerimine
PS! Järgnev samm kustutab partitsioonilt kõik andmed!
Ilma lisavõtmeteta partitsiooni krüpteerimine
sudo cryptsetup luksFormat /dev/sdb1
Konkreetsema tulemuse saamiseks kasutame võtmeid
sudo cryptsetup --key-size=512 --hash=sha256 luksFormat /dev/sdb1
Tulemuse kontrollimiseks
sudo cryptsetup luksDump /dev/sdb1
Krüpteeritud partitsiooni avamiseks
sudo cryptsetup luksOpen /dev/sdb1 krypt
Kontrollime, et krüpteeritud partitsioon on haagitud, kuid ei oma veel failisüsteemi
sudo lsblk -f /dev/mapper/krypt
Loome krüpteeritud partitsioonile failisüsteemi
sudo mkfs.ext4 /dev/mapper/krypt
Haakimine
Krüpteeritud partitsiooni haakimiseks:
sudo cryptsetup luksOpen /dev/sdb1 krypt
sudo mount /dev/mapper/krypt /mnt/ketas
Lahti haakimiseks:
sudo umount /mnt/ketas
sudo cryptsetup luksClose krypt
Varundus
Esineb olukordi, kus võib viga saada LUKSi päis, seetõttu on soovitav seda varundada.
Varundamiseks:
sudo cryptsetup luksHeaderBackup /dev/sdb1 -header-backup-file Luksheader.bin
Taastamiseks:
sudo cryptsetup luksHeaderRestore /dev/sdb1 -header-backup-file Luksheader.bin
