LUKS 磁碟加密

2021-08-25 05:47:00 字數 2864 閱讀 8480

忘記密碼怎麼辦?

luks (linux unified key setup)是 linux 硬碟加密的標準。通過提供標準的磁碟格式,它不僅可以促進發行版之間的相容性,還可以提供對多個使用者密碼的安全管理。 與現有解決方案相比,luks 將所有必要的設定資訊儲存在分割槽資訊首部中,使使用者能夠無縫傳輸或遷移其資料。

// 1.正常分割槽


$ parted / fstab      


// 2.對為初始化的分割槽進行加密,輸入密碼或者使用檔案內容加密,可選加密方式


$ cryptsetup luksformat /dev/sdc1(/dev/vg/lv)  


$ cryptsetup --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 10000 luksformat /dev/sda2


//密碼放在檔案內


$ cryptsetup luksformat dev /root/random_data_keyfile1


//增加密碼


$ cryptsetup luksaddkey /dev/sdc1 /passwd_txt


$ cryptsetup luksopen /dev/sdc1 luks--$(cryptsetup luksuuid /dev/sda3)


// 4.格式化分割槽並掛載


// 5.umount 後 可以進行 取消對映


$ cryptsetup luksclose test
/etc/crypttab 檔案記錄對映內容以及解密密碼所在檔案。

$ cat /etc/crypttab 


test /dev/sdc1  /passwd_txt


***   /dev/sda15   /root/keyfile   luks


// (對映名,分割槽,key檔案位置,最後一列就是'luks')
根分割槽自動識別

需要在 grub 中宣告 luks 加密的磁碟以及解密檔案

//rhel6


$ sed -i "/^\s*kernel/s,$, rd_luks_uuid=$(cryptsetup luksuuid /dev/sda3)," /boot/grub/grub.conf   


// rhel7


$ sed -i "/^grub_cmdline_linux/s,\"$, rd.luks.uuid=$(cryptsetup luksuuid /dev/sda3)\"," /etc/default/grub  


$ grub2-mkconfig >/etc/grub2.cfg 


$ dracut -f
設定多個密碼的情況,可以嘗試找到其他密碼

$ blkid -t type=crypto_luks -o device


/dev/vdb1


$ cryptsetup luksdump /dev/vdb1 | grep key.slot


key slot


0: enabled


key slot


1: disabled


key slot


2: disabled


key slot


3: disabled


key slot


4: disabled


key slot


5: disabled


key slot


6: disabled


key slot


7: disabled

如果磁碟當前可用,可以使用 root 使用者通過master key增加新的密碼

//首先找到裝置,使用lsblk, findmnt, df, mount, or /etc/fstab確認


$ dmsetup ls --target crypt


vdc-decrypted    (253, 2)


luks-ec013cf7


-ad72


-4dcf-


8a1e-


0548016a3e2c    (253, 1)


//找到 master key ,在第五列


$ dmsetup table <


map>


--showkeys


//通過master key增加新的密碼,需要先轉換成binary


$ lsblk | grep -b1 luks-ec013cf7


-ad72


-4dcf-


8a1e-


0548016a3e2c


└─vdb1                                        252:17


01023m  0 part


└─luks-ec013cf7


-ad72


-4dcf-


8a1e-


0548016a3e2c 253:1


01021m  0 crypt /cryptstor


$ cryptsetup luksaddkey /dev/vdb1 --master-key


-file


-ad72


-4dcf-


8a1e-


0548016a3e2c | awk ''


| xxd -r


-p)enter new passphrase for key slot:


verify passphrase:


$ cryptsetup luksdump /dev/vdb1 | grep enabled


key slot 0: enabled


key slot 1: enabled

libvirt qemu 磁碟加密 LUKS

1.建立luks格式的加密磁碟 mysecret printf s 123456 base64 qemu img create f luks object secret,data mysecret,id sec0,format base64,qom type secret o key secret ...

Linux下LUKS加密磁碟

1.介紹 當我們有重要檔案需要保護時,可以採用linux統一金鑰設定 linux unified key setup,luks 就是這樣乙個加密技術,它允許linux的分割槽進行加密。luks具有如下功能 可以使用lusk加密整個塊裝置,非常適合於保護可移動儲存介質或者筆記本磁碟的資料。一旦被加密,...

linux雜談(四) 磁碟加密LUKS

linux系統中有很多的磁碟裝置,通常我們希望對它們進行加密,這樣會更加的安全。luks linux統一金鑰設定 是標準的裝置加密格式。luks可以對分割槽或者卷進行加密。尤其要注意的是 必須首先對加密的卷進行解密,才能掛載其中的檔案系統。下面我們來舉個栗子看看什麼是luks。1.前期準備 支援lu...