6 999
contributi
HOWTO Riconfigurare Cryptsetup Dopo Installazione: differenze tra le versioni
HOWTO Riconfigurare Cryptsetup Dopo Installazione (visualizza wikitesto)
Versione delle 16:19, 6 feb 2021
, 6 feb 2021aggiunti template Autore, template Versioni compatibili, categorie e modifiche minori
S3v (discussione | contributi) (aggiunti template Autore, template Versioni compatibili, categorie e modifiche minori) |
|||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili|Buster}} | |||
== Descrizione == | == Descrizione == | ||
Può capitare di aver un ripensamento sulle impostazioni apportate al disco dopo averlo "messo" al sicuro con '''cryptsetup''' durante una normale installazione di | Può capitare di aver un ripensamento sulle impostazioni apportate al disco dopo averlo "messo" al sicuro con '''cryptsetup''' durante una normale installazione di Debian o qualsiasi altra distro.<br/> | ||
Si potrebbe cambiare idea e magari rafforzare il cipher...ma una volta installata la distro e costruito il disco con ''cryptsetup'' risulterà impossibile apportare un cambiamento radicale del genere.. eccetto per delle semplici modifiche, come cambiare la passphrase. Quindi in queste situazioni non resta altro che reinstallare il tutto e apportare le giuste modifiche durante l'installazione. | Si potrebbe cambiare idea e magari rafforzare il cipher...ma una volta installata la distro e costruito il disco con ''cryptsetup'' risulterà impossibile apportare un cambiamento radicale del genere.. eccetto per delle semplici modifiche, come cambiare la passphrase. Quindi in queste situazioni non resta altro che reinstallare il tutto e apportare le giuste modifiche durante l'installazione.<br/> | ||
Ma c'è un modo per ovviare a tutto ciò? La risposta è si ed esistono fondamentalmente due strade: | Ma c'è un modo per ovviare a tutto ciò? La risposta è si ed esistono fondamentalmente due strade: | ||
* Usare l'utility '''cryptsetup-reencrypt''' ( ''man cryptsetup-reencrypt'' [https://www.systutorials.com/docs/linux/man/8-cryptsetup-reencrypt/] ). Può essere molto utile e veloce in quanto ci permette di fare cambiamenti radicali " | * Usare l'utility '''cryptsetup-reencrypt''' ( ''man cryptsetup-reencrypt'' [https://www.systutorials.com/docs/linux/man/8-cryptsetup-reencrypt/] ). Può essere molto utile e veloce in quanto ci permette di fare cambiamenti radicali "al volo". Unica pecca può essere il suo grado di rischio in quanto si andrà a operare direttamente sull'header, quindi a meno che non avete file importanti sul disco in cui la cancellazione involontaria dei dati, (o comunque l'inaccessibilità degli stessi) non vi farà bestemmiare :) , procedete con questa opzione. | ||
* Fare tutto "a mano". La strada migliore, anche se un po' lunga. (Vedere '''[[#Obiettivo|Obiettivo]]'''). | |||
=== Obiettivo === | === Obiettivo === | ||
| Riga 26: | Riga 26: | ||
== Preparativi == | == Preparativi == | ||
Prima di tutto dobbiamo fare un | Prima di tutto dobbiamo fare un po' di ricerca sul nostro sistema.<br/> | ||
Dobbiamo vedere ''l'UUID'' della partizione grezza, cioè' dove è presente il sistema cifrato, e ''l'UUID'' della partizione decifrata dove risiede il nostro sistema mappato da cryptsetup in ''/dev/mapper/<nome_vostra_partizione>'' (di solito in | Dobbiamo vedere ''l'[[UUID]]'' della partizione grezza, cioè' dove è presente il sistema cifrato, e ''l'UUID'' della partizione decifrata dove risiede il nostro sistema mappato da cryptsetup in ''/dev/mapper/<nome_vostra_partizione>'' (di solito in Debian le partizioni criptate configurate durante l'installazione sono rinominate in '''sd'''''<device><numero_partizione>'''''_crypt''').<br/> | ||
Infine dobbiamo procurarci un supporto esterno dove copiare momentaneamente l'intero sistema. Inutile dirlo ma come capacità dovrà essere maggiore o uguale a quest'ultimo. | Infine dobbiamo procurarci un supporto esterno dove copiare momentaneamente l'intero sistema. Inutile dirlo ma come capacità dovrà essere maggiore o uguale a quest'ultimo. | ||
| Riga 35: | Riga 35: | ||
== All'opera == | == All'opera == | ||
Spegniamo il | Spegniamo il PC e avviamo la Live. La live deve essere uguale a quella che abbiamo installato in quanto i pacchetti, patch ecc., possono essere leggermente differenti e quindi potrebbero variare da distro a distro e per evitare complicanze in seguito è buona norma usare una live (importante anche la versione) uguale a quella del vostro sistema. | ||
Una volta avviata è possibile che i pacchetti che ci servono non siano installati. Quindi procediamo con: | Una volta avviata è possibile che i pacchetti che ci servono non siano installati. Quindi procediamo con: | ||
| Riga 56: | Riga 56: | ||
<pre> $ mount /dev/<vostro_supporto_rimovibile> /root/usb</pre> | <pre> $ mount /dev/<vostro_supporto_rimovibile> /root/usb</pre> | ||
Non ci resta adesso che copiare tutto il sistema nel supporto, badando a non modificare nulla. La copia sarà fatta con il banalissimo comando '''cp''' ''( | Non ci resta adesso che copiare tutto il sistema nel supporto, badando a non modificare nulla. La copia sarà fatta con il banalissimo comando '''cp''' ''([[Guida ai comandi da terminale#Gestione di file e directory|Guida ai comandi da terminale: gestione di file e directory]])''. Il problema però nasce dal fatto che durante la copia i file possono assumere informazioni riguardanti l'utente che appunto sta effettuando la copia, e per risolvere a questo inconveniente, durante la copia risulterà utile aggiungere al comando ''cp'' la seguente opzione: | ||
<pre> $ cp --preserve=all -R /mnt/* /root/usb/</pre> | <pre> $ cp --preserve=all -R /mnt/* /root/usb/</pre> | ||
| Riga 70: | Riga 70: | ||
</pre> | </pre> | ||
Possiamo | Possiamo adesso formattare la partizione: | ||
<pre> $ dd if=/dev/zero of=/dev/<vostra_partizione> bs=10M count=1</pre> | <pre> $ dd if=/dev/zero of=/dev/<vostra_partizione> bs=10M count=1</pre> | ||
Nell' esempio seguente si rimuove solo l' | Nell'esempio seguente si rimuove solo l'header LUKS cancellando di fatto solo i primi 10MB della partizione.<br/> | ||
Ma possiamo anche riformattare direttamente la partizione con cryptsetup. Ricordiamoci inoltre durante la formattazione di impostare '''l'UUID''' precedentemente visto, cioè della partizione grezza dove andrà il sistema che sarà poi cifrato. Ecco un esempio: | Ma possiamo anche riformattare direttamente la partizione con ''cryptsetup''. Ricordiamoci inoltre durante la formattazione di impostare '''l'UUID''' precedentemente visto, cioè della partizione grezza dove andrà il sistema che sarà poi cifrato. Ecco un esempio: | ||
<pre> $ cryptsetup --hash=sha512 --key-size=512 --iter-time=10000 --use-random --uuid=<UUID_partizione_grezza> luksFormat /dev/<vostra_partizione></pre> | <pre> | ||
$ cryptsetup --hash=sha512 --key-size=512 --iter-time=10000 --use-random --uuid=<UUID_partizione_grezza> luksFormat /dev/<vostra_partizione> | |||
</pre> | |||
Alla domanda digitiamo '''YES''' tutto in maiuscolo e procediamo. | Alla domanda digitiamo '''YES''' tutto in maiuscolo e procediamo. | ||
Bisogna infine ricreare il filesystem per la nuova partizione per ospitare i dati. | Bisogna infine ricreare il filesystem per la nuova partizione per ospitare i dati.<br/> | ||
In questo caso il filesystem dovrà essere uguale a quello del sistema. Nella maggior parte dei casi, il filesystem '''ext4''' è il più utilizzato. | In questo caso il filesystem dovrà essere uguale a quello del sistema. Nella maggior parte dei casi, il filesystem '''ext4''' è il più utilizzato. | ||
| Riga 98: | Riga 100: | ||
== Conclusioni == | == Conclusioni == | ||
Porre molta attenzione ai vari ''UUID'' visti sul sistema (vedere '''Preparativi''' | Porre molta attenzione ai vari ''UUID'' visti sul sistema (vedere la sezione [[#Preparativi|'''Preparativi''']]).<br/> | ||
Se si sbaglia uno dei due ''UUID'' il sistema non partirà e quindi si dovrà necessariamente ripetere tutte le fasi partendo dall'inizio. | Se si sbaglia uno dei due ''UUID'' il sistema non partirà e quindi si dovrà necessariamente ripetere tutte le fasi partendo dall'inizio.<br/> | ||
Ma se si è sbagliati solo ''l'UUID'' della partizione decifrata ( quella del sistema che partirà effettivamente presente in ''/dev/mapper/'' ) non c'è bisogno di ripetere tutto; basta accedere da una live e cambiare ''l'UUID'' con: | Ma se si è sbagliati solo ''l'UUID'' della partizione decifrata ( quella del sistema che partirà effettivamente presente in ''/dev/mapper/'' ) non c'è bisogno di ripetere tutto; basta accedere da una live e cambiare ''l'UUID'' con: | ||
<pre> $ tune2fs /dev/mapper/<mapper_sistema> -U <UUID></pre> | <pre> $ tune2fs /dev/mapper/<mapper_sistema> -U <UUID></pre> | ||
Ovviamente questo andrà fatto una volta aperto (decifrato) e mappato il disco con cryptsetup. | Ovviamente questo andrà fatto una volta aperto (decifrato) e mappato il disco con ''cryptsetup''. | ||
Se tutto è filato liscio si è riusciti riconfigurare l'header di LUKS senza reinstallare l'intero sistema. | Se tutto è filato liscio si è riusciti riconfigurare l'header di LUKS senza reinstallare l'intero sistema. | ||
{{Autori | |||
|Autore= [[Utente:VincenzoGianfelice|VincenzoGianfelice]] 23:48, 25 lug 2017 (CEST) | |||
|Verificata_da= | |||
|Estesa_da= | |||
|Numero_revisori=0 | |||
}} | |||
[[Categoria:Filesystem]] | |||
[[Categoria:Crittografia]] | |||