私のPCにFedora 14とUbuntu 10.04 LTSがインストールされています。両方のインストールでは、aes256でdm_crypt / LVMを使用しました(それぞれ暗号化された2つのボリュームグループなので、このシステムには2つの別々の暗号化されたLinuxディストリビューションがあります)。暗号化されたVGのパスワードを変更するには?
答え1
がなければどうすればいいかわかりませんcryptsetup
。方法を見つけたら修正します。しかし、他の方法で助けることができると思います。
暗号化が物事の全体的な計画にどのように適合するかを明確に理解する必要があると思います。
dm_crypt
ブロックデバイスのように見えるものはすべて、ユーザースペースユーティリティを介して処理できますcryptsetup
。これは、フルハードドライブ(たとえば/dev/sda
)、そのハードドライブの単一パーティション(たとえば/dev/sda1
)、またはVG(ボリュームグループ、つまり/dev/volume_group
)です。
VGは以前にpvcreate
1つ以上の物理ディスクパーティション(VGなど/dev/sda1
)で使用され、物理ボリューム(PV)になりました。次に、すべてのPVを使用してVGに接続し、vgcreate
VGを表す新しいデバイスを作成します/dev
。 VGを作成したら、mkfs.ext4 /dev/volume_group
and then mount /dev/volume_group
towhereなどのコマンドを実行してフォーマットする必要があります。ルートとして実行される簡単なコマンドを見ると、mount
システムが現在どこにあるのかがわかります。
暗号化されたボリュームは、ブロックデバイス(物理ディスクまたはVG)を渡すことによって作成する必要がありますcryptsetup luksFormat
。この時点でパスワードを入力するか、キーファイルを指定できます。その後、それを使用するには適切なブロックデバイスを開く必要があります。cryptsetup luksOpen
これにより、以前に割り当てたパスワードの入力を求めるメッセージが表示されるか、キーファイルを指定できます。つまり/dev/mapper
、/dev/mapper/encrypted
。暗号化されたブロックデバイスを実際に使用できるようにmkfs.ext4
、、、などのfsck
ツールを提供したいと思います。mount
重要:これを実行する前に、またはコマンドをcryptsetup luksFormat
使用してディスクの空き容量を任意のデータで上書きする必要があります。そうしないと、事前に行わないと、相手はディスクに書き込んだ場所と書き込んでいない場所を知ることができます。dd
badblocks
luksFormat
単一のハードドライブで暗号化と組み合わせたボリュームグループを使用する目的は通常、ディスクパーティション化と同じ目的を達成することですが、暗号化されたボリューム内にあるため、ロックを解除しないと「パーティション」スキームを見つけることはできません。したがって、ディスク全体をインポートして暗号化されたボリュームを作成し、、、、およびを使用してpvcreate
論理ボリュームを作成し、パーティションのようにマウントできます。 (これは説明します:vgcreate
lvcreate
http://linuxgazette.net/140/kapil.html)
実際にボリュームをマウント解除するには、umount /dev/mapper/encrypted
ファイルシステムを取り外してからcryptsetup luksClose encrypted
仮想ブロックデバイスを切断する必要があります。
cryptsetup
キーを追加(luksAddKey
)して削除(luksDelKey
)できます。ボリュームごとに最大8つのキーを持つことができると思います。新しいキーを追加し、古いキーを削除してキーを変更します。
すべてのオプションの具体的な構文cryptsetup
は次のとおりです。http://linux.die.net/man/8/cryptsetup