Pokud mate zajem, napiste do diskuze a ja sepisu neco podprobnejsiho.
Vytvoreni sifrovaneho disku
Vse delame pod rootem.
1 2 |
# time dd if=/dev/urandom bs=1M count=512 | pv | dd of=/tmp/tajne.img # dd if=/dev/urandom of=/tmp/tajne.img bs=1M count=512 |
Oba prikazy delaji totez, prvni jenom spocita celkovou dobu a pomoci pv ukazuje aktualni prubeh. Druhy neinformuje o nicem, veberte si. 512 je velikost vysledneho obrazu v MB.
1 2 |
<span style="font-size: 11.199999809265137px;"># losetup `losetup -f` /tmp/tajne.img</span> # losetup -a |
Nyni disk zasifrujeme. Algoritmy tady nebudu porovnavat, staci googlit.
1 |
# cryptsetup luksFormat -h sha512 -c aes-xts-benbi -s 512 --verbose --verify-passphrase /dev/loop0 |
1 |
# cryptsetup luksOpen /dev/loop0 sifrovano |
1 |
# mkfs.ext3 /dev/mapper/sifrovano |
1 2 3 |
# umount /dev/mapper/sifrovano # cryptsetup luksClose sifrovano # losetup -d /dev/loop0 |
Kazdodenni prace s sifrovanym diskem
Vytvorime loop, odemkneme luks a pripojime fs:
1 2 3 |
# losetup `losetup -f` /tmp/tajne.img # cryptsetup luksOpen /dev/loop0 sifrovano # mount -t ext3 /dev/mapper/sifrovano /tmp/sifrovanoMNT |
1 2 3 |
<span style="font-size: 11.428571701049805px;"># umount /dev/mapper/sifrovano</span> # cryptsetup luksClose sifrovano # losetup -d /dev/loop0 |
Poznamky
Zaloha LUKS hlavicky
LUKS muze mit 8 hesel/klicu. Kazdy muze likvidovat ostatni, tudiz nejde mit 8 klicu s ruznymi pravy.
Aby bylo mozne hesla menit, ma luks disk zasifrovany slozitym klicem ulozenym v hlavicce. Heslo jen desifruje hlavicku. Pokud se hlavicka znici (treba chcipne disk), mame po datech – proto je vhodne ji na bezpecne misto zalohovat.
1 |
# cryptsetup luksDump /tmp/tajne.img |
1 |
# dd if=/tmp/tajne.img of=luks_header.img count=payload_offset_cislo |
Zmena hesla
1 |
# cryptsetup luksDump /tmp/tajne.img |
1 |
# cryptsetup luksAddKey /tmp/tajne.img |
1 |
# cryptsetup luksRemoveKey /tmp/tajne.img |
GUI
Chcete-li GUI nastroj, zkuste GNOME Disks (nekdy ho nejdete i pod nazvy gnome-disk-utility, nebo palimpsest).