LUKS gestione manuale dei volumi: cryptsetup: differenze tra le versioni
(5 versioni intermedie di uno stesso utente non sono mostrate) | |||
Riga 1: | Riga 1: | ||
{{Versioni compatibili|Jessie|Stretch|Buster}} | |||
== Introduzione == | == Introduzione == | ||
Questa guida contiene solo due esempi di [[script]] Bash per la gestione attraverso cryptsetup di volumi cifrati secondo lo standard [http://code.google.com/p/cryptsetup/ LUKS] (Linux Unified Keys Setup).<br/> | Questa guida contiene solo due esempi di [[script]] Bash per la gestione attraverso cryptsetup di volumi cifrati secondo lo standard [http://code.google.com/p/cryptsetup/ LUKS] (Linux Unified Keys Setup).<br/> | ||
Riga 5: | Riga 5: | ||
== Automatizzazione dei passi necessari == | == Automatizzazione dei passi necessari == | ||
Assumiamo di avere creato correttamente il volume criptato, la chiave e il filesystem. Ora dobbiamo solo creare uno script da eseguire come [[root]], per fare tutte le operazioni di creazione e montaggio, o viceversa di smontaggio e rimozione automaticamente.<br/> | Assumiamo di avere creato correttamente il volume criptato, la chiave e il filesystem. Ora dobbiamo solo creare uno script da eseguire come [[root]], per fare tutte le operazioni di creazione e montaggio, o viceversa di smontaggio e rimozione automaticamente.<br/> | ||
Di seguito sono riportati due script, uno per il caso di file montato ricorsivamente, l'altro per il caso di periferica ordinaria. | Di seguito sono riportati due script, uno per il caso di file montato ricorsivamente, l'altro per il caso di periferica ordinaria. | ||
=== Script per file immagine === | === Script per file immagine === | ||
<pre>#!/bin/bash | Con [[privilegi di amministrazione]] copiare il file successivo in <code>/usr/local/sbin</code>, assegnandogli utente e gruppo [[root]] e permessi di esecuzione, dopodiché eseguirlo sempre con privilegi. | ||
Si deve però modificare la variabile dello script seguente per utilizzare la propria home. | |||
<pre> | |||
#!/bin/bash | |||
HOME_UTENTE="/home/nomeutente" ### <-- DA MODIFICARE CON LA PROPRIA HOME | |||
#Utilizzo di un file immagine come periferica criptata | #Utilizzo di un file immagine come periferica criptata | ||
Riga 15: | Riga 21: | ||
case $1 in | case $1 in | ||
monta) | monta) | ||
if [ -f | if [ -f "${HOME_UTENTE}/immagine_cifrata" ]; then | ||
echo "Impostazione periferica ricorsiva (loop)." | echo "Impostazione periferica ricorsiva (loop)." | ||
loopdev=$(losetup -f) | |||
losetup "$loopdev" "${HOME_UTENTE}/immagine_cifrata" | |||
else | |||
echo "File: \"${HOME_UTENTE}/immagine_cifrata\" non trovato!" >&2 | |||
exit 4 | |||
fi | fi | ||
if [ $? = 0 ]; then | if [ $? = 0 ]; then | ||
cryptsetup open --type luks "$loopdev" criptata | |||
else | else | ||
echo "Impostazione periferica ricorsiva non riuscita." >&2 | echo "Impostazione periferica ricorsiva non riuscita." >&2 | ||
Riga 28: | Riga 38: | ||
if [ $? = 0 ]; then | if [ $? = 0 ]; then | ||
mount /dev/mapper/criptata | if ! [ -e "${HOME_UTENTE}/criptata" ]; then | ||
mkdir "${HOME_UTENTE}/criptata" | |||
fi && | |||
mount /dev/mapper/criptata "${HOME_UTENTE}/criptata" | |||
else | else | ||
echo "Impotazione periferica non criptata non riuscita." >&2 | echo "Impotazione periferica non criptata non riuscita." >&2 | ||
losetup -d "$loopdev" | |||
exit 2 | exit 2 | ||
fi | fi | ||
Riga 37: | Riga 50: | ||
if [ $? != 0 ]; then | if [ $? != 0 ]; then | ||
echo "Impossibile montare la periferica criptata." >&2 | echo "Impossibile montare la periferica criptata." >&2 | ||
cryptsetup close criptata | |||
losetup -d "$loopdev" | |||
exit 1 | exit 1 | ||
fi | fi | ||
Riga 47: | Riga 60: | ||
if [ $? = 0 ]; then | if [ $? = 0 ]; then | ||
echo "Smontaggio riuscito" | echo "Smontaggio riuscito" | ||
cryptsetup close criptata | |||
else | else | ||
echo "Smontaggio non riuscito." >&2 | echo "Smontaggio non riuscito." >&2 | ||
Riga 54: | Riga 67: | ||
if [ $? = 0 ]; then | if [ $? = 0 ]; then | ||
/ | loopdev=$(losetup -n -O "NAME" -j "${HOME_UTENTE}/immagine_cifrata") && | ||
losetup -d "$loopdev" | |||
if [ $? = 0 ]; then | if [ $? = 0 ]; then | ||
echo "Periferica criptata chiusa" | echo "Periferica criptata chiusa" | ||
touch | touch "${HOME_UTENTE}/criptata.img" | ||
else | else | ||
echo "Rimozione periferica ricorsiva non riuscita." >&2 | echo "Rimozione periferica ricorsiva non riuscita." >&2 | ||
Riga 71: | Riga 85: | ||
exit 1 | exit 1 | ||
;; | ;; | ||
esac</pre> | esac | ||
</pre> | |||
Nello script è stato inserito il comando <code>touch</code> per impostare all'ora attuale le date di ultimo accesso e modifica del file <code>criptata.img</code>.<br/> | Nello script è stato inserito il comando <code>touch</code> per impostare all'ora attuale le date di ultimo accesso e modifica del file <code>criptata.img</code>.<br/> | ||
Nella prassi si è rivelata importante una modifica esplicita di queste informazioni del file, per sapere quali file cifrati sono stati aperti di recente, nel caso se ne vogliano fare delle copie di backup.<br/> | Nella prassi si è rivelata importante una modifica esplicita di queste informazioni del file, per sapere quali file cifrati sono stati aperti di recente, nel caso se ne vogliano fare delle copie di backup.<br/> | ||
Riga 77: | Riga 92: | ||
=== Script per periferica ordinaria === | === Script per periferica ordinaria === | ||
In questo esempio viene usata la prima partizione di una scheda di memoria SD (<code>/dev/mmcblk0p1</code> con lettore compatibile con il modulo <code>sdhci</code>). | Con [[privilegi di amministrazione]] copiare il file successivo in <code>/usr/local/sbin</code>, assegnandogli utente e gruppo [[root]] e permessi di esecuzione, dopodiché eseguirlo sempre con privilegi. | ||
<pre>#!/bin/bash | |||
Si deve però modificare la variabile dello script seguente per utilizzare la propria home. | |||
In questo esempio inoltre viene usata la prima partizione di una scheda di memoria SD (<code>/dev/mmcblk0p1</code> con lettore compatibile con il modulo <code>sdhci</code>), se si utilizza una diversa memoria si deve cambiare il percorso. | |||
<pre> | |||
#!/bin/bash | |||
HOME_UTENTE="/home/nomeutente" ### <-- DA MODIFICARE CON LA PROPRIA HOME | |||
PATH_MEMORIA="/dev/mmcblk0p1" ### <-- DA MODIFICARE CON IL PATH /dev/... DELLA PROPRIA MEMORIA | |||
case $1 in | case $1 in | ||
monta) | monta) | ||
echo "Verifica presenza SD:" | echo "Verifica presenza SD:" | ||
if [ -b | if [ -b "$PATH_MEMORIA" ] ; then | ||
echo "." | echo "." | ||
else | else | ||
echo "La periferica non è inserita!" >&2 | echo "La periferica ($PATH_MEMORIA) non è inserita!" >&2 | ||
exit 2 | exit 2 | ||
fi | fi | ||
if ! [ -e "$HOME_UTENTE"/criptata ]; then | |||
/ | mkdir "$HOME_UTENTE"/criptata | ||
mount /dev/mapper/criptata | fi && | ||
cryptsetup open --type=luks "$PATH_MEMORIA" criptata && | |||
mount /dev/mapper/criptata "$HOME_UTENTE"/criptata || | |||
{ | { | ||
echo "Il file system cifrato non può essere montato." >&2 | echo "Il file system cifrato non può essere montato." >&2 | ||
cryptsetup close criptata | |||
exit 1 | exit 1 | ||
} | } | ||
;; | ;; | ||
smonta) | smonta) | ||
#Smonto il file system criptato e controllo che lo smontaggio sia avvenuto correttamente | #Smonto il file system criptato e controllo che lo smontaggio sia avvenuto correttamente | ||
umount /dev/mapper/criptata | umount /dev/mapper/criptata | ||
if [ $? != 0 ]; then | if [ $? != 0 ]; then | ||
Riga 106: | Riga 132: | ||
fi | fi | ||
#Chiudo il nodo in /dev/mapper e controllo | #Chiudo il nodo in /dev/mapper e controllo | ||
cryptsetup close criptata | |||
if [ $? = 0 ]; then | if [ $? = 0 ]; then | ||
echo "Nodo cifrato in /dev/mapper rimosso." | echo "Nodo cifrato in /dev/mapper rimosso." | ||
Riga 119: | Riga 145: | ||
exit 1 | exit 1 | ||
;; | ;; | ||
esac</pre> | esac | ||
</pre> | |||
Riga 125: | Riga 152: | ||
|Autore = [[Utente:GipPasso|GipPasso]] | |Autore = [[Utente:GipPasso|GipPasso]] | ||
|Verificata_da = | |Verificata_da = | ||
: [[Utente:HAL 9000|HAL 9000]] | : [[Utente:HAL 9000|HAL 9000]] 10:49, 29 set 2019 (CEST) | ||
|Estesa_da = | |Estesa_da = | ||
|Numero_revisori = 1 | |Numero_revisori = 1 |
Versione attuale delle 08:50, 29 set 2019
Versioni Compatibili Debian 8 "jessie" Debian 9 "stretch" Debian 10 "buster" |
Introduzione
Questa guida contiene solo due esempi di script Bash per la gestione attraverso cryptsetup di volumi cifrati secondo lo standard LUKS (Linux Unified Keys Setup).
Per la parte relativa alla creazione dei volumi (sia su periferica fisica che su file) rimandiamo alla guida su LUKS e cryptmount
Automatizzazione dei passi necessari
Assumiamo di avere creato correttamente il volume criptato, la chiave e il filesystem. Ora dobbiamo solo creare uno script da eseguire come root, per fare tutte le operazioni di creazione e montaggio, o viceversa di smontaggio e rimozione automaticamente.
Di seguito sono riportati due script, uno per il caso di file montato ricorsivamente, l'altro per il caso di periferica ordinaria.
Script per file immagine
Con privilegi di amministrazione copiare il file successivo in /usr/local/sbin
, assegnandogli utente e gruppo root e permessi di esecuzione, dopodiché eseguirlo sempre con privilegi.
Si deve però modificare la variabile dello script seguente per utilizzare la propria home.
#!/bin/bash HOME_UTENTE="/home/nomeutente" ### <-- DA MODIFICARE CON LA PROPRIA HOME #Utilizzo di un file immagine come periferica criptata case $1 in monta) if [ -f "${HOME_UTENTE}/immagine_cifrata" ]; then echo "Impostazione periferica ricorsiva (loop)." loopdev=$(losetup -f) losetup "$loopdev" "${HOME_UTENTE}/immagine_cifrata" else echo "File: \"${HOME_UTENTE}/immagine_cifrata\" non trovato!" >&2 exit 4 fi if [ $? = 0 ]; then cryptsetup open --type luks "$loopdev" criptata else echo "Impostazione periferica ricorsiva non riuscita." >&2 exit 3 fi if [ $? = 0 ]; then if ! [ -e "${HOME_UTENTE}/criptata" ]; then mkdir "${HOME_UTENTE}/criptata" fi && mount /dev/mapper/criptata "${HOME_UTENTE}/criptata" else echo "Impotazione periferica non criptata non riuscita." >&2 losetup -d "$loopdev" exit 2 fi if [ $? != 0 ]; then echo "Impossibile montare la periferica criptata." >&2 cryptsetup close criptata losetup -d "$loopdev" exit 1 fi ;; smonta) umount /dev/mapper/criptata if [ $? = 0 ]; then echo "Smontaggio riuscito" cryptsetup close criptata else echo "Smontaggio non riuscito." >&2 exit 3 fi if [ $? = 0 ]; then loopdev=$(losetup -n -O "NAME" -j "${HOME_UTENTE}/immagine_cifrata") && losetup -d "$loopdev" if [ $? = 0 ]; then echo "Periferica criptata chiusa" touch "${HOME_UTENTE}/criptata.img" else echo "Rimozione periferica ricorsiva non riuscita." >&2 exit 1 fi else echo "Chiusura periferica criptata non riuscita" >&2 exit 2 fi ;; *) echo "Usage: $1 {monta|smonta}" >&2 exit 1 ;; esac
Nello script è stato inserito il comando touch
per impostare all'ora attuale le date di ultimo accesso e modifica del file criptata.img
.
Nella prassi si è rivelata importante una modifica esplicita di queste informazioni del file, per sapere quali file cifrati sono stati aperti di recente, nel caso se ne vogliano fare delle copie di backup.
Se non si inserisce quella riga, programmi di backup (che spesso si appoggiano su librsync) possono non accorgersi che il file cifrato è stato cambiato o è stato aperto di recente e non lo considerano nel sincronizzare le varie copie.
Script per periferica ordinaria
Con privilegi di amministrazione copiare il file successivo in /usr/local/sbin
, assegnandogli utente e gruppo root e permessi di esecuzione, dopodiché eseguirlo sempre con privilegi.
Si deve però modificare la variabile dello script seguente per utilizzare la propria home.
In questo esempio inoltre viene usata la prima partizione di una scheda di memoria SD (/dev/mmcblk0p1
con lettore compatibile con il modulo sdhci
), se si utilizza una diversa memoria si deve cambiare il percorso.
#!/bin/bash HOME_UTENTE="/home/nomeutente" ### <-- DA MODIFICARE CON LA PROPRIA HOME PATH_MEMORIA="/dev/mmcblk0p1" ### <-- DA MODIFICARE CON IL PATH /dev/... DELLA PROPRIA MEMORIA case $1 in monta) echo "Verifica presenza SD:" if [ -b "$PATH_MEMORIA" ] ; then echo "." else echo "La periferica ($PATH_MEMORIA) non è inserita!" >&2 exit 2 fi if ! [ -e "$HOME_UTENTE"/criptata ]; then mkdir "$HOME_UTENTE"/criptata fi && cryptsetup open --type=luks "$PATH_MEMORIA" criptata && mount /dev/mapper/criptata "$HOME_UTENTE"/criptata || { echo "Il file system cifrato non può essere montato." >&2 cryptsetup close criptata exit 1 } ;; smonta) #Smonto il file system criptato e controllo che lo smontaggio sia avvenuto correttamente umount /dev/mapper/criptata if [ $? != 0 ]; then echo "Smontaggio non riuscito." >&2 exit 2 fi #Chiudo il nodo in /dev/mapper e controllo cryptsetup close criptata if [ $? = 0 ]; then echo "Nodo cifrato in /dev/mapper rimosso." else echo "Chiusura periferica criptata non riuscita" >&2 exit 1 fi ;; *) echo "Usage: $1 {monta|smonta}" >&2 exit 1 ;; esac
Guida scritta da: GipPasso | Debianized 40% |
Estesa da: | |
Verificata da:
| |
Verificare ed estendere la guida | Cos'è una guida Debianized |