dm-crypt

/dev/mapperを削除せずにdm-cryptブロックデバイスを作成する方法は?
dm-crypt

/dev/mapperを削除せずにdm-cryptブロックデバイスを作成する方法は?

以下を使用してdm-cryptファイルシステムを作成できます。 root@smarcimx8mq4g:~# cat /data/caam/randomkey | keyctl padd logon logkey: @s 731358804 root@smarcimx8mq4g:~# dmsetup -v create encrypted --table "0 $(blockdev --getsz /dev/mmcblk1p3) crypt capi:tk(cbc(aes))-plain :36:logon:logkey: 0 /dev/mmcblk1p3 ...

Admin

一時データの削除または暗号化戦略
dm-crypt

一時データの削除または暗号化戦略

LVMにLUKSがあるUbuntu 22.04システムがあり、スワップ領域とデータボリュームが暗号化されています(/data)。これは最終的にRAMが制限されている(2GBまたは4GB)、適切なディスク容量(> = 50GB)を持つVPSで実行されます。また、tmpデータを暗号化するか、少なくともシャットダウン後も維持されないことを確認する必要があります(VPSプロバイダのディスクバックアップファイルに機密情報がないことを確認するため)。 質問1:ちょうどシンボリックリンク/var/tmpで接続できますか/data/var/tmp?それとも、システムは...

Admin

dm-cryptスキームを合理的に拒否して餌データを更新する方法は?
dm-crypt

dm-cryptスキームを合理的に拒否して餌データを更新する方法は?

私は今読んだ。この議論Linus Torvaldsと他の人の間でミラン・ブローズ、dm-cryptの管理者の一人です。 私は議論の次の部分に興味があります。 リヌス・トバルズ:隠された(「拒否できる」)ものを使う人は実際には絶対に使わないようです。使用完全に外部ファイルシステムなので、実際に暗号化された内容をそこに入れることができるので心配する必要はありません。 Milan Broz:まあ、データが「最新」に見えるように、外部を「使用」する必要があり、「隠されたOS」全体については、要求に応じて外部の餌OSから起動することもできます。 、何かがまさにそこで...

Admin

cryptsetupはinitramfsで暗号化バックエンドを初期化できません。
dm-crypt

cryptsetupはinitramfsで暗号化バックエンドを初期化できません。

私は組み込みLinuxデバイスを使用しており、rootfs用に暗号化されたsquashfsを開こうとしています。 イメージはホスト(ビルドエージェント)によって作成され、そこでコンテンツを開いて使用できるため、イメージが正しいことを確認できます。組み込みLinuxのinitramfsでイメージを開こうとすると、次のエラーが発生します。 root# cryptsetup open ./rootfs.sqfs.img rootfs # cryptsetup 2.5.0 processing "/usr/sbin/cryptsetup --debug open ...

Admin

起動時にシステム暗号化パスワードを入力するプロンプトをカスタマイズする
dm-crypt

起動時にシステム暗号化パスワードを入力するプロンプトをカスタマイズする

私のアーチLinuxノートブックにはフルディスク暗号化があります。コンピュータの電源を入れると、ディスクパスワードの入力を求められます。私のシステムはluks ArchwikiページのLVMを通して暗号化されています。プロンプトには、「cryptlvmボリュームにパスワードが必要です」などの内容が表示され、所有者や紛失時に返品先住所などのシステムに関する情報を含めるように変更します。これまでアーチウィキを見て、似たような質問をした人がいるか検索してみましたが、何も見つからないようです。 ...

Admin

cryptsetupライブラリAPIを使用して「cryptseup isLuks」機能を実装する方法
dm-crypt

cryptsetupライブラリAPIを使用して「cryptseup isLuks」機能を実装する方法

シェルスクリプトから $crypsetup isLuks /dev/sda1 上記のコマンドは返されます。 0 -> luksパーティション(暗号化されたパーティション) 1 - >ルクス以外のパーティション(暗号化されていないパーティション)。 ライブラリAPIを使用してCPPプログラムでディスク暗号化を実装しました。 cryptosetup APIを使用してパーティションがluksパーティションであるかどうかを確認するにはどうすればよいですか? ...

Admin

pmountはリムーバブル暗号化USBディスクをマウントできません。
dm-crypt

pmountはリムーバブル暗号化USBディスクをマウントできません。

次のように、/etc/crypttabから起動時にマッパーファイル/dev/mapper/luks-672dcc74-d002-47dc-b61b-525baf91dc7cを作成します。 luks-672dcc74-d002-47dc-b61b-525baf91dc7c UUID=672dcc74-d002-47dc-b61b-525baf91dc7c /home/user1/keyfile_sandisk120gb luks,keyscript=/bin/cat lsblkの出力は次のようになります。 sdd ...

Admin

efiの起動後にLuks2がロック解除パスワードを許可しない問題を修正
dm-crypt

efiの起動後にLuks2がロック解除パスワードを許可しない問題を修正

Kaliのディスクユーティリティを使用して、Luks2で暗号化されたさまざまなブランドと容量の2つのUSBがあります。ブート問題を修正し、パスを修正した後、ディスクにアクセスできましたが、それ以降はパスワードをまったく受け入れませんでした。別のディスクでテストしましたが、うまくいきます。部門の一部の変更が理由になる可能性がありますか? ! WD-1TB-LUKS2: /dev/sdd (/dev/sdd1) LUKS header information Version: 2 Epoch: 3 Metadata area: ...

Admin

暗号化された論理ボリュームをどのようにマウント/復元しますか?
dm-crypt

暗号化された論理ボリュームをどのようにマウント/復元しますか?

最初の回答の最後にいくつかの内容を修正しました。 残念ながら、debian10を実行する以前のLVMのインストールでいくつかの問題が発生しました。 Debian 11 と Debian 10 がインストールされています。これを行うと、Debian 10 LVMが破損しているように見え(インストールできなくなり)、インストール方法がわかりません。 Debian 10 はインストーラを使ってインストールされます。これは暗号化されてインストールされ、2つのドライブにまたがるLVM内にあります。 initramfsを起動したときにlvmを復号化するには、パスワードを...

Admin

Ubuntuフルディスク暗号化読み取り/書き込み操作キューを無効にする
dm-crypt

Ubuntuフルディスク暗号化読み取り/書き込み操作キューを無効にする

現在、Ubuntu(20.04.5 LTS)を使用して複数のデバイスを設定しようとしていますが、ドライブを暗号化する必要があるため、インストール中にLUKSを使用しています。 (このプロセスでは、「新しいUbuntuのインストールにLVMを使用する」+「セキュリティのために新しいUbuntuインストールを暗号化する」を選択しました。) しかし、ドライブ暗号化は(予想どおり)はるかに遅いですが、この記事no_read_workqueueno_write_workqueuedm-crypt I / O操作を高速化するために2つのフラグと(最後の段落)を使用する可...

Admin

dmsetupを使用して既存のファイルシステムパーティションを暗号化パーティションに変換する
dm-crypt

dmsetupを使用して既存のファイルシステムパーティションを暗号化パーティションに変換する

私は最初に暗号化されていないext4ファイルシステムイメージを使用してプログラムされたARMベースの組み込みLinuxデバイスを開発しています。初めて起動すると、initramfsスクリプトはLUKSを使用してルートパーティションをresize2fs内部で暗号化します。cryptsetup-reencrypt(例えば暗号化 - ディスクをフォーマットせずに暗号化する方法はありますか?.) この戦略はうまく機能しています。 dmsetupしかし、今は"一般" dm-cryptを使用してcryptsetup。を使用するために必要ですdmsetup。 crypts...

Admin

LUKS PBKDFはどのように機能しますか?
dm-crypt

LUKS PBKDFはどのように機能しますか?

--pbkdf argon2idたとえば、とを--hash blake2b-512選択すると # printf 'YES' | cryptsetup luksFormat \ --type luks2 --key-file /tmp/keyfile \ --header /tmp/luks.header \ --cipher serpent-xts-plain64 --key-size 512 \ --use-random ...

Admin

LUKS2 + LVM2パーティション内でkexecを使用して別のカーネルをチェーンロードする方法は?
dm-crypt

LUKS2 + LVM2パーティション内でkexecを使用して別のカーネルをチェーンロードする方法は?

次のパーティションレイアウトでDebian 11をインストールしました。 道 滞在 マウントポイント /dev/nvme0n1p7 ext4(暗号化なし) /boot(Debian 11) /dev/nvme0n1p8 dm-crypt LUKS2 LVM2(名前vg_main) /dev/mapper/vg_main-lv_swap swap - /dev/mapper/vg_main-lv_debian ext4 /(Debian 11) /dev/mapper/vg_main-lv_ubuntu ext4 /(Ubunt...

Admin

既存のLUKS / cryptsetupデバイスでdm-integrityを有効にできますか?
dm-crypt

既存のLUKS / cryptsetupデバイスでdm-integrityを有効にできますか?

cryptsetup私のルートや他のファイルシステムと一緒にLVM2を含む大規模なLUKS2デバイスを作成しました。デバイスサイズは数TBで、中間にコピーできる他のディスク(またはディスクの組み合わせ)はありません。 最近、DM-Integrityについて知りましたが、DM-Cryptにはオプションで有効にできるバージョンが組み込まれており、暗号化されたデバイスでそれを使用したいと思います。ただし、すべての文書にはデバイスの作成時に設定する内容が記載されており、このcryptsetup reencrypt機能には記載されていないようです。 私は完全性情報がな...

Admin

フルディスク暗号化を持たないシステムに「暗号化」mkinitcpioフックが含まれているかどうかは重要ですか?
dm-crypt

フルディスク暗号化を持たないシステムに「暗号化」mkinitcpioフックが含まれているかどうかは重要ですか?

1つはLUKSディスク暗号化フックを/etc/mkinitcpio.conf必要とし、もう1つは不要な2つのArch Linuxシステム間でシステムを共有できますか?encryptつまり、フックが呼び出されて復号化する項目がない場合(/dev/mapper/luksdevfstabにはありません)、後者の起動に問題が発生しますか? (インストールしなければならないcryptsetupと思いますが、大丈夫で、実際にはすでに他のものに依存しています。) ...

Admin