LUKS gestione manuale dei volumi: cryptsetup: differenze tra le versioni

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
(Creata pagina con '= Introduzione = Questa guida contiene solo due esempi di script bash per la gestione attraverso cryptsetup di volumi cifrati secondo lo standard [http://luks.endorphin.org/ LUKS...')
 
Riga 3: Riga 3:
Per la parte relativa alla creazione dei volumi (sia su perfiferica fisica che su file) rimandiamo alla guida su [http://guide.debianizzati.org/index.php?title=Creazione_e_uso_di_una_volume_criptato_LUKS LUKS e cryptmount]
Per la parte relativa alla creazione dei volumi (sia su perfiferica fisica che su file) rimandiamo alla guida su [http://guide.debianizzati.org/index.php?title=Creazione_e_uso_di_una_volume_criptato_LUKS LUKS e cryptmount]
= Automatizzazione dei passi necessari =
= Automatizzazione dei passi necessari =
A questo punto dobbiamo solo creare uno script da eseguire come root, per fare tutte le operazioni di creazione e montaggio, o viceversa di smontaggio e rimozione automaticamente.
Assumiamo di avere creato correttamente il volume criptato, la chiave e il file system. Ora dobbiamo solo creare uno script da eseguire come root, per fare tutte le operazioni di creazione e montaggio, o viceversa di smontaggio e rimozione automaticamente.
Di seguito sono riportati due script, uno per il caso di file montato ricorsivamente, l'altro per il caso di periferica ordinaria.
Di seguito sono riportati due script, uno per il caso di file montato ricorsivamente, l'altro per il caso di periferica ordinaria.
In entrambi i casi il montaggio della periferica criptata avviene nella cartella "criptata" nella home dell'utente; è necessario quindi creare la cartella:<pre>$ mkdir /home/'''nomeutente'''/criptata</pre>
In entrambi i casi il montaggio della periferica criptata avviene nella cartella "criptata" nella home dell'utente; è necessario quindi creare la cartella:<pre>$ mkdir /home/'''nomeutente'''/criptata</pre>
Riga 56: Riga 56:
         ;;
         ;;
esac</pre>
esac</pre>
Nello script ho inserito il comando <code>touch</code> per impostare all'ora attuale le date di ultimo accesso e modifica del file criptata.img.
Nello script è stato inserito il comando <code>touch</code> per impostare all'ora attuale le date di ultimo accesso e modifica del file criptata.img.
Ho ritenuto importante una modifica esplicita di queste informazioni del file, perché può risultare molto più comodo sapere quali file cifrati sono stati aperti di recente, nel caso se ne vogliano fare delle copie di backup.
Nella prassi si è rivelata importante una modifica esplicita di queste informazioni del file, per sapere quali file cifrati sono stati aperti di recente, nel caso se ne vogliano fare delle copie di backup.
Se non si inserisce quella riga, programmi di backup (che spesso si appoggiano su ''librsync'') non possono accorgersi che il file cifrato è stato cambiato o è stato aperto di recente e non lo considerano nel sincronizzare le varie copie.
Se non si inserisce quella riga, programmi di backup (che spesso si appoggiano su ''librsync'') possono non accorgersi che il file cifrato è stato cambiato o è stato aperto di recente e non lo considerano nel sincronizzare le varie copie.


=== Script per periferica ordinaria ===
=== Script per periferica ordinaria ===

Versione delle 13:30, 5 ago 2011

Introduzione

Questa guida contiene solo due esempi di script bash per la gestione attraverso cryptsetup di volumi cifrati secondo lo standard LUKS (Linux Unified Keys Setup). Per la parte relativa alla creazione dei volumi (sia su perfiferica fisica che su file) rimandiamo alla guida su LUKS e cryptmount

Automatizzazione dei passi necessari

Assumiamo di avere creato correttamente il volume criptato, la chiave e il file system. Ora dobbiamo solo creare uno script da eseguire come root, per fare tutte le operazioni di creazione e montaggio, o viceversa di smontaggio e rimozione automaticamente. Di seguito sono riportati due script, uno per il caso di file montato ricorsivamente, l'altro per il caso di periferica ordinaria.

In entrambi i casi il montaggio della periferica criptata avviene nella cartella "criptata" nella home dell'utente; è necessario quindi creare la cartella:

$ mkdir /home/'''nomeutente'''/criptata

Script per file immagine

#Utilizzo di un file immagine come periferica criptata
#!/bin/bash

case $1 in
        monta)
                if [ -f /home/'''nomeutente'''/immagine_cifrata ]; then
                    echo "Impostazione periferica ricorsiva (loop)."
                    /sbin/losetup /dev/loop0 /home/'''nomeutente'''/immagine_cifrata
                fi

                if [ $? = 0 ]; then
                    /sbin/cryptsetup luksOpen /dev/loop0 criptata
                else
                    echo "Impostazione periferica ricorsiva non riuscita."
                fi

                if [ $? = 0 ]; then
                    mount /dev/mapper/criptata /home/'''nomeutente'''/criptata
                fi

                if [ $? !=0 ]; then
                    echo "Impossibile montare la periferica criptata."
                    /sbin/cryptsetup luksClose criptata
                    /sbin/losetup -d /dev/loop0
                fi
        ;;
        smonta)
                umount /dev/mapper/criptata
                echo "Smontaggio riuscito"

                if [ $? = 0 ]; then
                    /sbin/cryptsetup luksClose criptata
                else
                    echo "Smontaggio non riuscito."
                fi

                if [ $? = 0 ]; then /sbin/losetup -d /dev/loop0
			if [ $? = 0 ]; then 
			    echo "Periferica criptata chiusa"
			    touch /home/'''nomeutente'''/criptata.img
			else echo "Chiusura periferica criptata non riuscita"
		        fi
		fi
        ;;
        *)
        echo "Usage: $1 {monta|smonta}" >&2
        exit 1
        ;;
esac

Nello script è stato inserito il comando touch per impostare all'ora attuale le date di ultimo accesso e modifica del file criptata.img. Nella prassi si è rivelata importante una modifica esplicita di queste informazioni del file, per sapere quali file cifrati sono stati aperti di recente, nel caso se ne vogliano fare delle copie di backup. Se non si inserisce quella riga, programmi di backup (che spesso si appoggiano su librsync) possono non accorgersi che il file cifrato è stato cambiato o è stato aperto di recente e non lo considerano nel sincronizzare le varie copie.

Script per periferica ordinaria

In questo esempio viene usata la prima partizione di una scheda di memoria SD (/dev/mmcblk0p1 con lettore compatibile con il modulo sdhci). 

#!/bin/bash

case $1 in
        monta)
                echo "Verifica presenza SD:"
                if [ -b /dev/mmcblk0p1 ] ; then
                    echo "."
                else
                    echo "La periferica non è inserita!"
                    exit 2
                fi

                if [ $? = 0 ]; then /sbin/cryptsetup luksOpen /dev/mmcblk0p1 criptata
                fi

                if [ $? = 0 ]; then
                    mount /dev/mapper/criptata /home/'''nomeutente'''/criptata
                fi

                if [ $? != 0 ]; then
                    echo "Il file system cifrato non può essere montato."
                    /sbin/cryptsetup luksClose criptata
                fi
        ;;
        smonta)
#Smonto il file system criptato e controllo che lo smontaggio sia avvenuto correttamente
                umount /dev/mapper/criptata
                if [ $? != 0 ]; then
                    echo "Smontaggio non riuscito."
                fi

#Chiudo il nodo in /dev/mapper e controllo
                 /sbin/cryptsetup luksClose criptata
                if [ $? = 0 ]; then
                    echo "Nodo cifrato in /dev/mapper rimosso."
                else echo "Chiusura periferica criptata non riuscita"
                fi
        ;;
        *)
        echo "Usage: $1 {monta|smonta}" >&2
        exit 1
        ;;
esac


GipPasso
Estratto da "https://guide.debianizzati.org/index.php?title=LUKS_gestione_manuale_dei_volumi:_cryptsetup&oldid=26212"