117
contributi
Volumi criptati LUKS - Creazione e uso con cryptmount: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
m
Volumi criptati LUKS - Creazione e uso con cryptmount (visualizza wikitesto)
Versione delle 12:37, 5 ago 2011
, 5 ago 2011nessun oggetto della modifica
m (→Cryptmount) |
mNessun oggetto della modifica |
||
| Riga 95: | Riga 95: | ||
Command successful.</pre> | Command successful.</pre> | ||
==== Mappare e montare la partizione criptata ==== | |||
A questo punto dobbiamo dare istruzioni al device mapper di mappare la periferica LUKS appena creata in una block device virtuale sulla quale scrivere i nostri dati in chiaro (e poi essi saranno scritti cifrati su <code>/dev/periferica</code>):<pre># cryptsetup luksOpen /dev/periferica criptata</pre>Questo creerà la periferica <code>'''/dev/mapper/criptata'''</code>, sulla quale noi andremo a creare il file system che più ci interessa (su periferiche piccole come quella in esempio non conviene usare un file system con indicizzazione come reiserfs o ext3, bensì un più semplice ext2 o una fat):<pre># mkfs -t ext2 /dev/mapper/criptata</pre>Non ci rimane che montarla in una cartella di prova per verificare che sia tutto corretto (funzionamento, dimensioni desiderate ecc.):<pre># mount -t auto /dev/mapper/criptata /mnt/prova</pre> | |||
==== Rimozione della periferica criptata ==== | |||
Per rimuovere la periferica cifrata bisogna innanzi tutto smontarla, poi bisogna dire a ''cryptsetup'' di chiudere la periferica (il che automaticamente eliminerà il nodo creato dal device mapper):<pre># umount /mnt/prova | |||
# /sbin/cryptsetup luksClose criptata</pre> | |||
=== Rimozione di una loop device === | |||
Nel caso in cui la nostra periferica sia un file montato in loop, è consigliabile eliminare il collegamento che il nostro file immagine ha con la periferica loop cui l'abbiamo associato; questo ci permetterà di spostare o eliminare il file senza creare malfunzionamenti nelle periferiche di loop, così come ci consentirà di aprire nuove periferiche in loop ripartendo dalla numero 0:<pre># /sbin/losetup -d /dev/loop0</pre> | |||
=== Cryptmount === | === Cryptmount === | ||
Il passo di base da compiere con cryptmount è compilare il file di configurazione. Per questa operazione e per usare l'opzione <code>--generate-key</key> è necessario essere super utente (quello col costumino azzurro attillatissimo sotto i mutandoni rossi...). | Il passo di base da compiere con cryptmount è compilare il file di configurazione. Per questa operazione e per usare l'opzione <code>--generate-key</key> è necessario essere super utente (quello col costumino azzurro attillatissimo sotto i mutandoni rossi...). | ||
| Riga 116: | Riga 125: | ||
Infine diamo a cryptmount, necessariamente da super utente, istruzioni per creare la chiave:<pre>cryptmount --generate-key 32 crip</pre>Si noti che basta indicare a cryptmount <code>crip</code> non solo durante l'uso ma anche nella fase di creazione. | Infine diamo a cryptmount, necessariamente da super utente, istruzioni per creare la chiave:<pre>cryptmount --generate-key 32 crip</pre>Si noti che basta indicare a cryptmount <code>crip</code> non solo durante l'uso ma anche nella fase di creazione. | ||
== | == Uso del volume cifrato == | ||
Il grande vantaggio rispetto a cryptsetup è nell'uso quotidiano. Infatti, non è più richiesta l'autenticazione come super utente per montare o smontare il volume criptata (né che sia un volume fisico o un file in loop). | |||
Ogni utente può dare<pre>cryptmount -m crip</pre>o anche semplicemente<pre>cryptmount crip</pre>inserire la parola d'ordine, e usare il file system appena montato. Tutta la sicurezza è, a parte gli ottimi algoritmi di hash e cifrazione usati che scongiurano, ragionevolmente, attacchi di forza bruta, nella parola d'accesso. | |||
Uno schema di funzionamento divero, quello con la chiave conservata altrove è interessante perché separa chiave e dati, lasciando alla memoria dell'utente solo il terzo ingrediente. Questo non è però nello standard luks, quindi non relativo a questa guida.{{Box|Disclaimer|Se LUKS prevede l'uso di chiavi esterne, un minimo di studio lo rivelerà e in caso affermativo tornerò ad aggiornare questa guida.}} | |||
Per smontare la periferica criptata basta, essendo autenticati come l'utente che ha montato il volume o super user<pre>cryptmount -u crip</pre> | |||
== Automatizzazione dei passi necessari == | == Automatizzazione dei passi necessari == | ||
A questo punto dobbiamo solo creare uno script da eseguire come root, per fare tutte le operazioni di creazione e montaggio, o viceversa di smontaggio e rimozione automaticamente. | A questo punto dobbiamo solo creare uno script da eseguire come root, per fare tutte le operazioni di creazione e montaggio, o viceversa di smontaggio e rimozione automaticamente. | ||