タグ付けされた質問 「luks」

既存の dm-crypt LUKSデバイスのハッシュ仕様と反復時間を変更するにはどうすればよいですか？ 明らかに、たとえば次のような新しいデバイスを作成する場合、オプションを渡すことができます。 sudo cryptsetup luksFormat --cipher aes-cbc-essiv:sha256 --key-size 256 --iter-time 2100 --hash sha512 /dev/loop0 しかし、デバイスが既に存在する場合、デバイスを「破壊」せずに、たとえば反復時間を変更sha256しsha1たり、変更したりする方法 （明らかに、新しいハッシュが生成されるため、パスワードを再入力する必要があります。）

11 luks  dm-crypt 

私は完全に暗号化されたサーバーでDebian 7を実行し、dropbearとbusyboxを設定して、SSH経由でLUKSコンテナーのロックを解除しました（このチュートリアルとこのU＆L回答で説明されています）。 残念ながら、再起動時に（LAN経由で）サーバーにSSH接続しようとすると、「接続が拒否されました」というエラーが表示されます。私が試してみましたtelnetし、nmapデフォルトのポート（22）に、両方のポートが閉じていると言います。 サーバーにはufw、LANからのすべてのトラフィックを受け入れるルールがあります。 Anywhere ALLOW 192.168.1.0/24 dropbearがリッスンするポートを変更しようとしました/etc/defaults/dropbearがssh、telnetそれでも接続が拒否されます1。 接続してLUKSコンテナーをロック解除できるように、ブートプロセスのその段階でポートが開いていることを確認するにはどうすればよいですか？ ファイアウォールを無効にしても違いはありませんnmap。すべてのポートが閉じられたままです。 2/14更新 break=premountカーネルの行に追加して、initramfsを試してみました。dropbearが開始されましたが、その時点ではネットワークは稼働していません。終了後、ネットワークが起動し、LUKSデバイスのロックを解除するプロンプトが表示されるまでブートが続行されます。 この時点で、ネットワークは稼働しており、ホストには正しいIPアドレスが割り当てられていますが、ポート22はまだ閉じています。 /etc/initramfs-tools/intiramfs.conf私が使用しているIP行は次のとおりです。 export IP=192.168.1.200::192.168.1.1:255.255.255.0::eth0:off 指示と一致して/usr/share/doc/cryptsetup/README.remote.gz、私はちょうど、デバイスオプションを追加しようとしたが、それはネットワークを起動し、DHCPリースを得るのに十分ではありません。 アップデート11/10/14 カールの答えは必要なものでした：セットアップ/etc/initramfs-tools/conf.d/cryptrootが鍵でした： target=md1_crypt,source=UUID=8570d12k-ccha-4985-s09f-e43dhed9fa2a このガイドは、より最新で関連性のある（そして成功した）ことも証明しました。

11 ssh  networking  luks 

RAID-1システムで暗号化されたデバイス（LUKS上のLVM）にDebian Linuxシステム（amd64）がインストールされており、データ（LUKSとおそらくLVM）を配置するディスクが4以上のRAID-6があります。 基本的な考え方は、システム暗号化パーティションのロックを解除し（ローカルでの起動時またはsshを介して）、RAID-6暗号化パーティションのキーファイルを/ etc / crypttabに格納することだと思います。セキュリティ上のリスクはありますか？つまり、誰かがローカル/リモートでシステムに入ることができて、「ルート化」（SSHなど）に対して脆弱なサーバー上で実行されているサービスがたくさんあるとしたら、それはかなり役に立ちません。代替策はありますか（SSHを介してパーティションのロックを解除する以外に、たとえばデータパーティションがマウントされる前でもバックアップ操作が開始されるため問題になることがあります）。 別のマシンでは、バックアップにLUKS + greyhole（RAID-6なし）の複数のディスクを使用します。同じパスワードを10回入力して10個のディスクのロックを解除するのは本当に大変です...

11 linux  security  encryption  raid  luks 

ときにnautilusまたはcajaI暗号化されたディスクのアイコンをクリックすると、パスワードを入力し、基礎となるブロックデバイスはにマッピングされます/dev/mapper/luks-$UUIDし、それがに搭載されます/media/$USER/$DISK、何のrootのパスワードは必要ありません。GUIなしでコマンドラインからこのプロセスを呼び出す方法はありますか（sudoを回避し、マウントポイントをGUIから再度アンマウントできるようにするなど）。

11 linux  mount  luks  gvfs  caja 

「LUKS暗号化によるUSB永続性の追加」に関するKali Linuxドキュメントに従って、永続パーティションを作成し、ボリュームを次のように暗号化しました。 cryptsetup --verbose --verify-passphrase luksFormat /dev/sdb2 cryptsetup luksOpen /dev/sdb2 my_usb mkfs.ext3 -L persistence /dev/mapper/my_usb e2label /dev/mapper/my_usb persistence mkdir -p /mnt/my_usb mount /dev/mapper/my_usb /mnt/my_usb echo "/ union" > /mnt/my_usb/persistence.conf umount /dev/mapper/my_usb （「my_usb」をボリューム名に置き換えます） ただし、ボリュームを閉じるのを忘れていました（次の行はドキュメントの次のページで変更されたため、表示されませんでした）。 cryptsetup luksClose /dev/mapper/my_usb これは問題ですか？もしそうなら、それをどのようにして修復する方法はありますか？ この記事は、それが正しいことを示唆していますが、その理由は述べていません。 ディスクは正常に動作しているようです。

10 kali-linux  live-usb  luks 

暗号化されたコンテナを作成しました #!/bin/bash dd if=/dev/zero of=$1 bs=1 count=0 seek=$2 MAPPER=$(mktemp -up /dev/mapper) LOOPDEV=$(losetup --find --show $1) cryptsetup luksFormat $LOOPDEV cryptsetup luksOpen $LOOPDEV $(basename $MAPPER) mkfs.ext3 $MAPPER cryptsetup luksClose $MAPPER losetup -d $LOOPDEV つまり、たとえばcontainerこのスクリプトに指定されたファイルには、で暗号化されたext3ファイルシステムが含まれますcryptsetup luksFormat。 マウントするには、現在別のスクリプトを使用していますdm.mount container /mnt/decrypted。 #!/bin/bash set -e MAPPER=$(mktemp -up /dev/mapper) LOOPDEV=$(losetup --find --show $1) cryptsetup luksOpen $LOOPDEV $(basename …

9 mount  luks  dm-crypt  cryptsetup 

私は、私がマウントしたEFIパーティション以外のすべてのLUKS暗号化を許可するために使用GRUB_ENABLE_CRYPTODISK=yし/etc/default/grubました/boot/efi。これは正常に動作します。確かに小さな問題は、たまたま自分のパスワードを誤って入力した場合、2回目のチャンスがないことです。代わりに、10秒ほど後にGRUB rescue>プロンプトが表示されます。このプロンプトで入力してやり直すことができるものはありますか、それとも電源を切ってから入れ直す必要がありますか？

8 grub2  luks 

ルートパーティションをLUKS + LVMで暗号化することにしました。 私のThinkPadセットアップ： サムスン830128GB SSD 750GB HDD Core 2 Duo 2,5 GHz P9500 8GB RAM しかし、私が読むほど、次の2つの主題について理解が深まります。 1a。暗号 cryptsetupFAQ からの引用があるため、私は2/512の代わりにSHA1を使用する予定でした（一部推奨されています）。 5.20 LUKSが壊れています！SHA-1を使用！ いいえそうではありません。SHA-1は、衝突を見つけるために（急激に）壊れますが、キー派生関数で使用するためではありません。そして、その衝突の脆弱性は非反復的な使用のみを目的としています。そして、あなたは逐語的にハッシュ値を必要とします。 これは基本的に、すでにスロットキーがあり、PBKDF2反復カウントを1（通常は10'000より大きい）に設定した場合、同じスロットを提供する別のパスフレーズを（おそらく）導出できることを意味しますキー。しかし、スロットキーを持っている場合は、キースロットのロックを解除してマスターキーを取得し、すべてを壊すことができます。したがって、基本的に、このSHA-1の脆弱性により、LUKSコンテナーを既に開いている場合に、多大な労力でLUKSコンテナーを開くことができます。 ここでの本当の問題は、暗号を理解しておらず、特定の異なる用途で壊れているメカニズムが使用されているために壊れていると主張している人々です。メカニズムの使用方法は非常に重要です。ある用途で破壊されたハッシュは、他の用途では完全に安全である可能性があります。 「SHA-1以外を使う意味はない」と読みました。しかし、一部の人々はそれが正確にそうではないことを私に言います。だから何を考えればいいかわからなくなった。 1b。 また、ディスクがロック解除されてシステムにログインすると、暗号がディスクの読み取り/書き込み/シークのパフォーマンスに影響を与えるかどうかについても情報を見つけることができませんでした。 では、暗号の複雑さは、パスワード入力段階の「パフォーマンス」だけに影響するのでしょうか、それともシステムの通常の使用中にも影響するのでしょうか。 2.アルゴリズム 私はこれを数日から読んでいますが、読むほど、混乱します。私が読んだすべてのことは、AESが最も速く、蛇が最も遅いということです。しかし、私のラップトップではそうではありません： $ cryptsetup benchmark Tests are approximate using memory only (no storage IO). PBKDF2-sha1 344926 iterations per second PBKDF2-sha256 198593 …

8 linux  encryption  luks  dm-crypt  cryptsetup