我能找到的所有关于加密数据恢复的帖子都涉及特定情况。我目前有可正常运行的分区和目录,但我想在出现问题时最大限度地恢复数据(除了备份之外)。在以下设置下,我应该将哪些信息(如密钥、密码、配置等)保存在冷存储中?
Ubuntu 根目录安装在 LUKS 加密驱动器上。我还有第二个 HDD,也是 LUKS 加密的,并设置为登录时自动挂载。此外,我的主目录使用 ecryptfs 挂载。
我知道对于 ecryptfs,我应该存储 ecryptfs-unwrap-passphrase 的输出,但是对于每个 LUKS 分区应该做什么?我隐约记得还有一些其他密码应该存储,以防特定分区头信息损坏。
谢谢你的帮助。顺便说一句,如果有人对冷藏感兴趣,我计划简单地创建 H 级(高纠错)二维码,以便与实际数据一起打印到纸上作为文本。
答案1
在终端屏幕上运行 ecryptfs-unwrap-passphrase 并记下输出以供灾难恢复。
- 在终端屏幕上输入 ecryptfs-unwrap-passphrase
- 它会提示你“密码:”,它需要你的用户登录密码
- 输出将看起来像这个例子“1b6acbada5e3a61ebe324a4745e61ba8”,32 个字符的输出是您需要记下来并存储在安全地方的“密码”。
要在未来恢复您的数据,请按照本指南操作。
http://www.howtogeek.com/116297/how-to-recover-an-encrypted-home-directory-on-ubuntu/
答案2
对于 LUKS,解密唯一关键的数据是 LUKS 标头。可以使用 将标头备份到文件中,cryptsetup luksHeaderBackup
并使用 恢复cryptsetup luksHeaderRestore
。请参阅man cryptsetup
:
luksHeaderBackup <device> --header-backup-file <file>
存储 LUKS 标头和键槽区域的二进制备份。
注意:使用‘-’作为文件名会将标题备份写入名为‘-’的文件。
警告:此备份文件和备份时有效的密码短语允许解密 LUKS 数据区域,即使密码短语后来被更改或从 LUKS 设备中删除。另请注意,使用标头备份,您将无法通过仅覆盖标头和密钥槽来安全擦除 LUKS 设备。您要么需要另外安全地擦除所有标头备份,要么也覆盖加密数据区域。第二种选择不太安全,因为某些扇区可以保留下来,例如由于缺陷管理。
luksHeaderRestore <device> --header-backup-file <file>
从指定文件恢复 LUKS 标头和键槽区域的二进制备份。
注意:使用‘-’作为文件名会从名为‘-’的文件中读取标题备份。
警告:标题和密钥槽将被替换,之后只有备份中的密码才会起作用。
此命令要求设备上已有的 LUKS 标头和标头备份的主密钥大小和数据偏移量匹配。或者,如果设备上没有 LUKS 标头,则备份也会写入其中。