Tutoriales

Cómo habilitar el secreto de disco LUKS con archivo de claves en Linux

WPodemos amplificar fácilmente un archivo de esencia al secreto de disco LUKS en Linux al ejecutar el comando cryptsetup. Se utiliza un archivo de esencia como frase de contraseña para desbloquear un pandeo secreto. La frase de contraseña permite a los usuarios de Linux rajar discos encriptados utilizando un teclado o mediante una sesión basada en ssh. Hay diferentes tipos de archivos esencia que podemos amplificar y habilitar el secreto de disco LUKS en Linux según nuestras deposición:


  1. Archivo de claves de frase de contraseña – Es un archivo de esencia que contiene una frase de contraseña simple.
  2. Archivo de claves de texto accidental – Este es un archivo de esencia que comprende un sillar de caracteres aleatorios que es mucho más resistente a los ataques de diccionario que un simple archivo de esencia basado en una frase de contraseña.
  3. Archivo de claves binario – Podemos profanar una imagen, video o cualquier otro archivo binario asombrado como archivo esencia para LUKS. Hace que sea más difícil de identificar como archivo esencia. Al atacante le parecería un archivo de imagen corriente o un videoclip en circunscripción de un archivo de claves de texto accidental.

Veamos cómo habilitar el secreto de disco LUKS con un archivo de esencia.

Esta publicación explica cómo amplificar y habilitar el secreto de disco LUKS con un archivo de esencia en Linux y una frase de contraseña de respaldo para rajar el pandeo de disco secreto.

Cómo habilitar el secreto de disco LUKS con archivo de claves en Linux

Le sugiero insistentemente que cree tanto un archivo de claves como una frase de contraseña con fines de copia de seguridad si el archivo de claves definido se pierde o cambia. De esta forma, podrá retornar a ingresar a sus datos almacenados en volúmenes cifrados.

Paso 1: creación de un archivo de claves con caracteres aleatorios

¡ADVERTENCIA! La selección del tipo de esencia LUKS y el medio de almacenamiento depende de su maniquí de amenaza. Voy a utilizar una esencia de texto aleatoria y un pendrive USB para acumular la esencia. Todos los comandos deben ejecutarse como afortunado root. Tenga cuidado con los nombres de los dispositivos Linux, ya que los nombres de dispositivos incorrectos provocarán la pérdida de datos. El autor o nixCraft no son responsables de tales acciones.

Podemos usar el comando estereotipado de Linux, como el comando dd o el comando openssl, para crear una esencia LUKS válido. Por ejemplo:
DEST="/path/to/mykeyfile"
Para lapicero USB montado en / mnt / usb /:
DEST="/mnt/usb/mykeyfile"
Utilice el comando dd:
dd bs=512 count=4 if=/dev/random of=$DEST iflag=fullblock
Como dije anteriormente, puede usar el comando openssl para ocasionar un archivo de esencia LUKS válido de la posterior forma:
openssl genrsa -out $DEST 4096
Asegúrese de que solo el afortunado root pueda ingresar a nuestro archivo de claves usando el comando chmod / comando chown:
chmod -v 0400 $DEST
chown root:root $DEST


Vea cómo usar los comandos chmod y chown para obtener más información.

Paso 2: introduzca datos aleatorios en el dispositivo

Configuremos el nombre del dispositivo:
DEVICE=/dev/sdc
Utilice el comando shred para sobrescribir un archivo ($ DEVICE) para ocultar su contenido:
shred -v --iterations=1 $DEVICE

Paso 3: formatee el dispositivo (disco duro)

La sintaxis es la posterior para formatear y amplificar una frase de contraseña de respaldo:
cryptsetup luksFormat $DEVICE

WARNING!
========
This will overwrite data on /dev/sdc irrevocably.

Are you sure? (Type uppercase yes): YES

Unir y habilitar una esencia para el secreto de disco LUKS

A continuación, agregaremos el archivo de claves al encabezado LUKS de la posterior forma:
cryptsetup luksAddKey $DEVICE $DEST

Verifique que tanto la frase de contraseña de respaldo como el archivo de claves estén configurados para / dev / sdc:
cryptsetup luksDump $DEVICE

Dos ranuras de esencia indican que tenemos una frase de contraseña de respaldo y un archivo de esencia para desbloquear / dev / sdc usando cualquiera de los métodos.

Paso 3: abre el dispositivo

Usamos el luksOpen opción de la posterior forma para rajar nuestro dispositivo usando el archivo de claves:
DEV_NAME="backup2"
cryptsetup luksOpen $DEVICE $DEV_NAME --key-file $DEST

Por alguna razón, si su archivo de esencia se destruye o se corrompe, podemos usar una frase de contraseña de respaldo de la posterior forma:
DEV_NAME="backup2"
cryptsetup luksOpen $DEVICE $DEV_NAME


Enter passphrase for /dev/sdc:

Verá el dispositivo en / dev / mapper / $ DEV_NAME usando el comando ls / comando file:
ls -l /dev/mapper/$DEV_NAME
file -L /dev/mapper/$DEV_NAME

Paso 4: formatee el dispositivo

Utilice el comando mkfs.ext4 o el comando mkfs.xfs de la posterior forma:
mkfs.ext4 /dev/mapper/$DEV_NAME
# OR #
mkfs.xfs /dev/mapper/$DEV_NAME

Paso 5: monta el dispositivo

Use la combinación del comando mkdir y el comando mount como se indica a continuación para costar el / dev / sdc:
mkdir /backup2
mount /dev/mapper/$DEV_NAME /backup2

Verifíquelo usando el comando mount:
df -HT /backup2
mount | grep ^/backup2

Paso 6: montaje LUKS persistente (permanente) en el momento del comienzo utilizando un archivo de esencia

Agregue la posterior camino a / etc / crypttab expediente:
backup2 /dev/sdc /mykeyfile luks
Agregue / edite la posterior camino para / etc / fstab expediente:
/dev/mapper/backup2 /backup2 ext4 defaults 1 2

Paso 7: cerrojo del dispositivo

Primero desmárquelo usando el comando umount y luego ciérrelo de la posterior forma:
umount /backup2/
cryptsetup close backup2

Paso 8: ataque de emergencia cuando la esencia habilitó el secreto de disco LUKS dañado

Regalado que agregamos una frase de contraseña de respaldo en la ranura n. ° 0, todo lo que tiene que hacer es escribir los siguientes comandos:
DEVICE=/dev/sdc
DEV_NAME="backup"
cryptsetup luksOpen $DEVICE $DEV_NAME
mount /dev/mapper/$DEV_NAME /backup2
df -HT /backup2

Resumiendo

Esta página describe cómo utilizar un archivo de esencia LUKS accidental adyacente con una frase de contraseña de respaldo para desbloquear volúmenes cifrados en Linux. Incluso es posible encriptar su archivo de esencia usando 2FA, que cubriremos la próxima vez. Tenga en cuenta que siempre mantenga la copia de seguridad verificada en el método 3-2-1. Consulte la página de inicio del tesina cryptsetup para obtener más información y lea la posterior página de manual:
man cryptsetup



Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba