我在我的 PC 上安装了 Fedora 14 和 Ubuntu 10.04 LTS。我在两次安装中都使用了 dm_crypt/LVM 和 aes256(2 个卷组,每个卷组都加密,因此这台机器上有 2 个独立且加密的 Linux 发行版)。如何更改加密 VG 的密码?
答案1
我不知道如何在没有cryptsetup
.如果我找到方法,我会编辑它。但我想我可以在其他方面帮助你。
我认为您需要清楚地了解加密如何适应宏伟的计划。
dm_crypt
通过cryptsetup
用户空间实用程序,可以处理任何看起来像块设备的东西。这可以是整个硬盘驱动器(即/dev/sda
)、该硬盘驱动器的单个分区(即/dev/sda1
)或 VG(卷组,即/dev/volume_group
)。
VG 之前已通过pvcreate
在一个或多个真实磁盘分区上使用而成为 PV(物理卷)(如/dev/sda1
)。然后,使用 并将所有 PV 连接成一个 VG vgcreate
,然后创建一个代表 VG 的新设备/dev
。创建 VG 后,您需要通过发出诸如mkfs.ext4 /dev/volume_group
、 然后mount /dev/volume_group
到任意位置的命令来对其进行格式化。查看mount
以 root 身份运行的简单命令应该可以让您了解系统当前的位置。
必须通过将块设备(无论是真实磁盘还是 VG)传递到 来创建加密卷cryptsetup luksFormat
。此时您可以输入密码或指定密钥文件。然后,要使用它,您需要使用打开该块设备cryptsetup luksOpen
(这会提示您输入之前分配的密码,或者您可以指定一个密钥文件);这将在 中创建另一个“虚拟”块设备/dev/mapper
,即/dev/mapper/encrypted
。这就是您想要为mkfs.ext4
、fsck
、 和等工具提供的内容,mount
以实际使用加密的块设备。
重要提示:在执行此操作之前,cryptsetup luksFormat
您需要使用随机数据覆盖磁盘上的可用空间,无论是使用dd
或badblocks
命令。 luksFormat
不这样做,如果您不事先这样做,对手可能会知道您已写入磁盘的位置以及未写入磁盘的位置。
在单个硬盘驱动器上使用卷组与加密相结合的目的通常是为了达到与磁盘分区相同的目的,但由于它位于加密卷内,除非解锁,否则无法发现您的“分区”方案。因此,您可以使用一个完整的磁盘,创建一个加密卷,然后使用pvcreate
、vgcreate
、 和lvcreate
创建逻辑卷,然后将其像分区一样安装。 (这解释了:http://linuxgazette.net/140/kapil.html)
真正卸载卷将涉及umount /dev/mapper/encrypted
断开文件系统,然后cryptsetup luksClose encrypted
断开虚拟块设备。
cryptsetup
允许添加 ( luksAddKey
) 和删除 ( luksDelKey
) 键。我认为一个加密卷上最多可以有 8 个密钥。通过添加新密钥然后删除旧密钥来更改密钥。
所有选项的具体语法cryptsetup
如下:http://linux.die.net/man/8/cryptsetup