Pokud potřebujete šifrovat data některého oddílu na disku pomocí LUKS, je třeba disk nejprve naformátovat (zašifrovat a vytvořit hlavičku). Pozor, dojde k vymazání všech dat!:
cryptsetup luksFormat /dev/sdc3
Výchozí parametry by měly být dostatečně bezpečné, přesto, například zde můžete najít popis jednotlivých parametrů: link
Nově zašifrovaný oddíl ručně otevřete příkazem níže:
cryptsetup luksOpen /dev/sdc3 enc_part
Zde enc_part
je Váš název, pod kterým se objeví po odemčení blokové zařízení v /dev/mapper
. Např. /dev/mapper/enc_part
.
Nyní bude třeba jednotku naformátovat - můžete k tomu použít libovolný nástroj, /dev/mapper/enc_part
se chová stejně jako původní oddíl v /dev/sda3
, šifrování probíhá transparentně.
Tento příkaz naformátuje šifrovaný oddíl jako EXT4:
mkfs.ext4 /dev/mapper/enc_part # Nebo gparted /dev/mapper/enc_part
Nyní můžete jednotku namountovat a začít používat:
mount /dev/mapper/enc_part /mnt/sifrovany_oddil
Oddíl lze automaticky dešifrovat přidáním příslušného řádku do /etc/crypttab
(podobné jako fstab).
# Configuration for encrypted block devices. # See crypttab(5) for details. # NOTE: Do not list your root (/) partition here, it must be set up # beforehand by the initramfs (/etc/mkinitcpio.conf). # <name> <device> <password> <options> # home UUID=b8ad5c18-f445-495d-9095-c9ec4f9d2f37 /etc/mypassword1 # data1 /dev/sda3 /etc/mypassword2 # data2 /dev/sda5 /etc/cryptfs.key # swap /dev/sdx4 /dev/urandom swap,cipher=aes-cbc-essiv:sha256,size=256 # vol /dev/sdb7 none # enc_root UUID="db39649d-e6be-4d75-91c5-1b9d0b90e198" none luks enc_part /dev/sdc3 /etc/muj-tajny-klic luks
Uvedená konfigurace odemkne oddíl /dev/sda3
heslem uloženým v /etc/muj-tajny-klic
. Odemknutý oddíl se objeví v /dev/mapper/enc_part
. Automatické mountování oddílu lze jednoduše docílit přidáním této cesty do /etc/fstab
.
Šifrované oddíly lze odemykat i zadáním hesla během bootu systému z initrd.