User Tools

Site Tools


public:general:luks

Pokud potřebujete šifrovat data některého oddílu na disku pomocí LUKS, je třeba disk nejprve naformátovat (zašifrovat a vytvořit hlavičku). Pozor, dojde k vymazání všech dat!:

cryptsetup luksFormat /dev/sdc3

Výchozí parametry by měly být dostatečně bezpečné, přesto, například zde můžete najít popis jednotlivých parametrů: link

Nově zašifrovaný oddíl ručně otevřete příkazem níže:

cryptsetup luksOpen /dev/sdc3 enc_part

Zde enc_part je Váš název, pod kterým se objeví po odemčení blokové zařízení v /dev/mapper. Např. /dev/mapper/enc_part.

Nyní bude třeba jednotku naformátovat - můžete k tomu použít libovolný nástroj, /dev/mapper/enc_part se chová stejně jako původní oddíl v /dev/sda3, šifrování probíhá transparentně. Tento příkaz naformátuje šifrovaný oddíl jako EXT4:

mkfs.ext4 /dev/mapper/enc_part
# Nebo
gparted /dev/mapper/enc_part

Nyní můžete jednotku namountovat a začít používat:

mount /dev/mapper/enc_part /mnt/sifrovany_oddil

Automount

Oddíl lze automaticky dešifrovat přidáním příslušného řádku do /etc/crypttab (podobné jako fstab).

 # Configuration for encrypted block devices.
 # See crypttab(5) for details.
 
 # NOTE: Do not list your root (/) partition here, it must be set up
 #       beforehand by the initramfs (/etc/mkinitcpio.conf).
 
 # <name>       <device>                                     <password>              <options>
 # home         UUID=b8ad5c18-f445-495d-9095-c9ec4f9d2f37    /etc/mypassword1
 # data1        /dev/sda3                                    /etc/mypassword2
 # data2        /dev/sda5                                    /etc/cryptfs.key
 # swap         /dev/sdx4                                    /dev/urandom            swap,cipher=aes-cbc-essiv:sha256,size=256
 # vol          /dev/sdb7                                    none
 # enc_root     UUID="db39649d-e6be-4d75-91c5-1b9d0b90e198" none        luks

 enc_part   /dev/sdc3 /etc/muj-tajny-klic    luks

Uvedená konfigurace odemkne oddíl /dev/sda3 heslem uloženým v /etc/muj-tajny-klic. Odemknutý oddíl se objeví v /dev/mapper/enc_part. Automatické mountování oddílu lze jednoduše docílit přidáním této cesty do /etc/fstab.

Šifrované oddíly lze odemykat i zadáním hesla během bootu systému z initrd.

public/general/luks.txt · Last modified: 2020/04/08 17:53 by Lukáš Janík