
WPodemos amplificar fácilmente un archivo de esencia al secreto de disco LUKS en Linux al ejecutar el comando cryptsetup. Se utiliza un archivo de esencia como frase de contraseña para desbloquear un pandeo secreto. La frase de contraseña permite a los usuarios de Linux rajar discos encriptados utilizando un teclado o mediante una sesión basada en ssh. Hay diferentes tipos de archivos esencia que podemos amplificar y habilitar el secreto de disco LUKS en Linux según nuestras deposición:
- Archivo de claves de frase de contraseña – Es un archivo de esencia que contiene una frase de contraseña simple.
- Archivo de claves de texto accidental – Este es un archivo de esencia que comprende un sillar de caracteres aleatorios que es mucho más resistente a los ataques de diccionario que un simple archivo de esencia basado en una frase de contraseña.
- Archivo de claves binario – Podemos profanar una imagen, video o cualquier otro archivo binario asombrado como archivo esencia para LUKS. Hace que sea más difícil de identificar como archivo esencia. Al atacante le parecería un archivo de imagen corriente o un videoclip en circunscripción de un archivo de claves de texto accidental.
Veamos cómo habilitar el secreto de disco LUKS con un archivo de esencia.
Esta publicación explica cómo amplificar y habilitar el secreto de disco LUKS con un archivo de esencia en Linux y una frase de contraseña de respaldo para rajar el pandeo de disco secreto.
Cómo habilitar el secreto de disco LUKS con archivo de claves en Linux
Le sugiero insistentemente que cree tanto un archivo de claves como una frase de contraseña con fines de copia de seguridad si el archivo de claves definido se pierde o cambia. De esta forma, podrá retornar a ingresar a sus datos almacenados en volúmenes cifrados.
Paso 1: creación de un archivo de claves con caracteres aleatorios
¡ADVERTENCIA! La selección del tipo de esencia LUKS y el medio de almacenamiento depende de su maniquí de amenaza. Voy a utilizar una esencia de texto aleatoria y un pendrive USB para acumular la esencia. Todos los comandos deben ejecutarse como afortunado root. Tenga cuidado con los nombres de los dispositivos Linux, ya que los nombres de dispositivos incorrectos provocarán la pérdida de datos. El autor o nixCraft no son responsables de tales acciones.
Podemos usar el comando estereotipado de Linux, como el comando dd o el comando openssl, para crear una esencia LUKS válido. Por ejemplo:DEST="/path/to/mykeyfile"
Para lapicero USB montado en / mnt / usb /:DEST="/mnt/usb/mykeyfile"
Utilice el comando dd:dd bs=512 count=4 if=/dev/random of=$DEST iflag=fullblock
Como dije anteriormente, puede usar el comando openssl para ocasionar un archivo de esencia LUKS válido de la posterior forma:openssl genrsa -out $DEST 4096
Asegúrese de que solo el afortunado root pueda ingresar a nuestro archivo de claves usando el comando chmod / comando chown:chmod -v 0400 $DEST
chown root:root $DEST
Vea cómo usar los comandos chmod y chown para obtener más información.
Paso 2: introduzca datos aleatorios en el dispositivo
Configuremos el nombre del dispositivo:DEVICE=/dev/sdc
Utilice el comando shred para sobrescribir un archivo ($ DEVICE) para ocultar su contenido:shred -v --iterations=1 $DEVICE
Paso 3: formatee el dispositivo (disco duro)
La sintaxis es la posterior para formatear y amplificar una frase de contraseña de respaldo:cryptsetup luksFormat $DEVICE
WARNING!
========
This will overwrite data on /dev/sdc irrevocably.
Are you sure? (Type uppercase yes): YES
Unir y habilitar una esencia para el secreto de disco LUKS
A continuación, agregaremos el archivo de claves al encabezado LUKS de la posterior forma:cryptsetup luksAddKey $DEVICE $DEST
Verifique que tanto la frase de contraseña de respaldo como el archivo de claves estén configurados para / dev / sdc:cryptsetup luksDump $DEVICE
Dos ranuras de esencia indican que tenemos una frase de contraseña de respaldo y un archivo de esencia para desbloquear / dev / sdc usando cualquiera de los métodos.
Paso 3: abre el dispositivo
Usamos el luksOpen opción de la posterior forma para rajar nuestro dispositivo usando el archivo de claves:DEV_NAME="backup2"
cryptsetup luksOpen $DEVICE $DEV_NAME --key-file $DEST
Por alguna razón, si su archivo de esencia se destruye o se corrompe, podemos usar una frase de contraseña de respaldo de la posterior forma:DEV_NAME="backup2"
cryptsetup luksOpen $DEVICE $DEV_NAME
Enter passphrase for /dev/sdc:
Verá el dispositivo en / dev / mapper / $ DEV_NAME usando el comando ls / comando file:ls -l /dev/mapper/$DEV_NAME
file -L /dev/mapper/$DEV_NAME
Paso 4: formatee el dispositivo
Utilice el comando mkfs.ext4 o el comando mkfs.xfs de la posterior forma:mkfs.ext4 /dev/mapper/$DEV_NAME
# OR #
mkfs.xfs /dev/mapper/$DEV_NAME
Paso 5: monta el dispositivo
Use la combinación del comando mkdir y el comando mount como se indica a continuación para costar el / dev / sdc:mkdir /backup2
mount /dev/mapper/$DEV_NAME /backup2
Verifíquelo usando el comando mount:df -HT /backup2
mount | grep ^/backup2
Paso 6: montaje LUKS persistente (permanente) en el momento del comienzo utilizando un archivo de esencia
Agregue la posterior camino a / etc / crypttab expediente:backup2 /dev/sdc /mykeyfile luks
Agregue / edite la posterior camino para / etc / fstab expediente:/dev/mapper/backup2 /backup2 ext4 defaults 1 2
Paso 7: cerrojo del dispositivo
Primero desmárquelo usando el comando umount y luego ciérrelo de la posterior forma:umount /backup2/
cryptsetup close backup2
Paso 8: ataque de emergencia cuando la esencia habilitó el secreto de disco LUKS dañado
Regalado que agregamos una frase de contraseña de respaldo en la ranura n. ° 0, todo lo que tiene que hacer es escribir los siguientes comandos:DEVICE=/dev/sdc
DEV_NAME="backup"
cryptsetup luksOpen $DEVICE $DEV_NAME
mount /dev/mapper/$DEV_NAME /backup2
df -HT /backup2
Resumiendo
Esta página describe cómo utilizar un archivo de esencia LUKS accidental adyacente con una frase de contraseña de respaldo para desbloquear volúmenes cifrados en Linux. Incluso es posible encriptar su archivo de esencia usando 2FA, que cubriremos la próxima vez. Tenga en cuenta que siempre mantenga la copia de seguridad verificada en el método 3-2-1. Consulte la página de inicio del tesina cryptsetup para obtener más información y lea la posterior página de manual:man cryptsetup