Questions tagged «cryptsetup»

cryptsetup是一个命令行实用程序,用于管理使用dm-crypt内核子系统(Linux 2.6及更高版本和DragonFly BSD)加密的磁盘卷。

3
在启动时使用单个密码短语来解锁多个加密磁盘
我的机器有一个SSD(用于安装系统)和一个HDD(用于存储大型和/或不经常使用的文件)。两者都是加密的,但是我选择对它们使用相同的密码。SSD安装在/HDD 上,HDD 安装在/usr/hdd(每个用户都有一个目录,可以根据需要从主目录进行符号链接)。 系统启动后,立即要求输入SSD密码,仅几秒钟后输入HDD密码(自动安装)。鉴于两个密码短语都相同,是否可以将系统配置为只询问一次?

1
糟糕的通用dm-crypt(LUKS)写入性能
我正在研究一个问题,其中对块设备进行加密在写入时会带来巨大的性能损失。数小时的互联网阅读和实验并没有为我提供适当的了解,更不用说解决方案了。 简而言之,问题是:为什么在将btrfs放在块设备上时,我能获得非常快的写入速度(〜170MB / s),而在两者之间放置dm-crypt / LUKS时,写入速度却急剧下降(〜20MB / s)。文件系统和块设备,尽管该系统还能够维持足够高的加密吞吐量? 情境 /home/schlimmchen/random是一个4.0GB的文件,其中填充了/dev/urandom以前的数据。 dd if=/dev/urandom of=/home/schlimmchen/Documents/random bs=1M count=4096 读起来超级快: $ dd if=/home/schlimmchen/Documents/random of=/dev/null bs=1M 4265841146 bytes (4.3 GB) copied, 6.58036 s, 648 MB/s $ dd if=/home/schlimmchen/Documents/random of=/dev/null bs=1M 4265841146 bytes (4.3 GB) copied, 0.786102 s, 5.4 GB/s (第二次,显然是从缓存中读取了文件)。 未加密的btrfs 该设备直接使用btrfs格式化(块设备上没有分区表)。 $ sudo mkfs.btrfs …


2
为什么我的加密LVM卷(LUKS设备)在引导时不会挂载?
我正在尝试按照本指南设置加密卷 一切都已设置,但在启动时装入加密卷失败,并显示以下错误: fsck.ext4:尝试打开/ dev / mapper / safe_vault时没有此类文件或目录可能不存在的设备? 这是我的设置: 加密表 $ sudo cat /etc/crypttab safe_vault /dev/disk/by-uuid/d266ae14-955e-4ee4-9612-326dd09a463b none luks 注意: 将uuid来自: $ sudo blkid /dev/mapper/<my_logical_group>-safe_vault /dev/mapper/<my_logical_group>-safe_vault: UUID="d266ae14-955e-4ee4-9612-326dd09a463b" TYPE="crypto_LUKS" fstab $ sudo cat /etc/fstab | grep safe_vault /dev/mapper/safe_vault /safe-vault ext4 defaults 0 2 我做了什么... 因此,我去了devoper的网站,在常见问题常见问题解答中他们说: 检查内核中是否具有设备映射器和crypt目标。“ dmsetup目标”的输出应列出“ crypt”目标。如果不存在或命令失败,则将设备映射器和crypt-target添加到内核。 所以我做到了,结果证明我没有crypt目标: $ sudo dmsetup …
15 lvm  cryptsetup 

2
如何缩小LUKS分区,`cryptsetup resize`会做什么?
我正在调整包含单个ext4文件系统(没有LVM等)的LUKS加密分区的大小。该cryptsetup FAQ建议删除旧的分区并重新创建它,但是,像浪费了很多时间的声音。因此,我想手动进行操作,仔细调整分区的大小。 到目前为止,我认为我需要做: 创建文件系统的(加密)备份。重要!在执行以下任务时,您不会是第一个丢失数据的人。 卸载现有的ext4文件系统(例如,通过引导到Live CD)。如果从Live CD引导,请使用以下命令挂载加密分区:cryptsetup luksOpen /dev/sdXY ExistingExt4 调整现有ext4文件系统的大小。 cryptsetup resize /dev/mapper/ExistingExt4 -b $SECTORS 使用以下命令关闭/“卸载” LUKS分区 cryptsetup luksClose ExistingExt4 缩小分区大小。 以上步骤正确吗? 在第4步中,我应该选择$SECTORS什么?这一步是否有必要?该cryptsetup手册是不是真正描述性的resize选项: resize <name> resizes an active mapping <name>. If --size (in sectors) is not specified, the size of the underlying block device is used. 最后,如果我将ext4分区缩小15 GiB,可以安全地假定可以使用来从现有分区中删除15 GiB …

4
独立验证TRIM确实适用于SSD
我有一个LUKS分区/dev/sda1,我喜欢打开--allow-discards: cryptsetup --allow-discards luksOpen /dev/sda1 root 然后,我ext4使用以下discard选项挂载文件系统: grep /dev/mapper/root /proc/mounts /dev/mapper/root / ext4 ro,relatime,block_validity,discard,delalloc,barrier,user_xattr,acl 0 0 然后,我修剪已安装分区上的可用空间: fstrim -v / 使用df,我看到/有80%的可用空间。这意味着在上/dev/sda1,磁盘的80%是二进制零。 如果我用克隆图像 cat cat /dev/sda1 > sda1.img 并使用压缩图像xz,我希望磁盘上的所有零都将被压缩。由于磁盘上20%的数据是加密的,因此它看起来应该像随机的并且是不可压缩的。因此,xz压缩的图像应为aprox。原始大小的20%。 但是,所得的xz压缩图像与原始原始图像的大小大致相同。 我的推理正确吗? 为什么我的理论不能转化为实践?
13 ext4  ssd  cryptsetup  trim  fstrim 

1
无法关闭Luks分区
为了备份,我“快照”了一个LVM分区。该分区已加密,因此我已打开此Luks分区(快照)以进行备份。 问题是我忘记删除快照,因此快照使用率达到了100%。 当我尝试删除快照时: lvremove /dev/mapper/vgx-LogVolDBSnapshot /dev/vgx/LogVolDBSnapshot: read failed after 0 of 4096 at 375809572864: Input/output error /dev/vgx/LogVolDBSnapshot: read failed after 0 of 4096 at 375809630208: Input/output error /dev/vgx/LogVolDBSnapshot: read failed after 0 of 4096 at 0: Input/output error /dev/vgx/LogVolDBSnapshot: read failed after 0 of 4096 at 4096: Input/output error /dev/mapper/SnapshotDecrypted: …
13 partition  lvm  io  disk  cryptsetup 

4
如何在dm-crypt + LUKS容器上设置标签?
我刚收到一个新的USB闪存驱动器,并在其上设置了2个加密分区。我通过使用了dm-crypt(LUKS模式)cryptsetup。通过附加的非加密分区,驱动器具有以下结构: /dev/sdb1加密后,隐藏标记为“分区1”的ext4文件系统。 /dev/sdb2加密,隐藏另一个名为“分区2”的ext4文件系统。 /dev/sdb3,清晰可见的ext4文件系统,标记为“分区3”。 因为标签是贴在ext4文件系统上的,所以只要分区未被解密,前两个标签就完全不可见。这意味着,与此同时,LUKS容器没有标签。使用GNOME(自动挂载)时,这尤其令人讨厌,在这种情况下,分区显示为“ x GB加密 ”和“ y GB加密 ”,直到我决定将其解锁。 这并不是一个真正的阻塞问题,但是很烦人,因为我真的很喜欢我的标签,并且希望即使在我的分区仍被加密的情况下也能看到它们。 因此,有没有办法将标签附加到dm-crypt + LUKS容器,就像我们将标签附加到ext4文件系统一样?dm-crypt + LUKS标头是否为此留有空间,如果可以的话,如何设置标签? 请注意,我不想在解密之前公开ext4标签,这很愚蠢。我想在容器中添加其他标签,这些标签可能在ext4标签被隐藏时出现。

2
如何仅使用`mount`挂载cryptsetup容器?
我通过创建了一个加密的容器 #!/bin/bash dd if=/dev/zero of=$1 bs=1 count=0 seek=$2 MAPPER=$(mktemp -up /dev/mapper) LOOPDEV=$(losetup --find --show $1) cryptsetup luksFormat $LOOPDEV cryptsetup luksOpen $LOOPDEV $(basename $MAPPER) mkfs.ext3 $MAPPER cryptsetup luksClose $MAPPER losetup -d $LOOPDEV 例如container,为此脚本指定的文件将包含通过加密的ext3文件系统cryptsetup luksFormat。 要安装它,我目前使用另一个脚本,说dm.mount container /mnt/decrypted: #!/bin/bash set -e MAPPER=$(mktemp -up /dev/mapper) LOOPDEV=$(losetup --find --show $1) cryptsetup luksOpen $LOOPDEV $(basename …

1
crypttab和VeraCrypt
我双重启动了Fedora和Windows Vista,并希望它们共享一个分区,以便我可以在Linux和Windows中处理相同的文件,并且我需要对所有内容进行加密。 由于TrueCrypt已过期,因此我使用VeraCrypt加密了共享驱动器。Windows可以轻松地在登录时挂载该卷。 我试图在Linux中做同样的事情,但是没有运气,因为我不知道如何使用crypttab该veracrypt选项,即使它有一个也不知道。 cryptsetup可以正常工作,因为只需要添加该--veracrypt选项,但crypttab似乎没有。 cryptsetup --veracrypt open --type tcrypt /dev/sdX veracrypt-volume 我如何使用挂载VeraCrypt卷crypttab?有可能吗

1
试图了解LUKS加密
我决定用LUKS + LVM加密我的根分区。 我的ThinkPad设置: 三星830 128GB SSD 750GB硬盘 酷睿2双核2.5 GHz P9500 8GB RAM 但是我读得越多,对以下两个主题的理解就越少: 1a。密码 我打算使用SHA1而不是2/512(如某些建议所示),因为cryptsetupFAQ 中的引号是: 5.20 LUKS坏了!它使用SHA-1! 不它不是。SHA-1(在学术上)被破坏是为了查找冲突,但不是为了在密钥派生函数中使用它。并且该碰撞漏洞仅用于非迭代用途。并且您需要逐字地散列值。 这基本上意味着,如果您已经有一个插槽键,并且已将PBKDF2迭代计数设置为1(通常大于10,000),则可以(也许)派生出不同的密码短语,从而为您提供相同的插槽-键。但是,如果您具有插槽键,则已经可以解锁键槽并获得主键,从而破坏了一切。因此,从根本上讲,此SHA-1漏洞使您可以在打开LUKS容器时费劲地打开它。 真正的问题是人们不了解加密并声称事物被破坏只是因为某些特定用途的机制被破坏了。该机制的使用方式非常重要。一种用途被破坏的哈希可以完全安全地用于其他用途,这里就是。 我读为“除了SHA-1之外,没有任何其他用途”。但是后来有人告诉我,那不完全是那样。所以我不再知道该怎么想。 1b。 另外,一旦磁盘解锁并登录系统,我就找不到密码对磁盘读/写/查找性能是否有任何影响的任何信息。 那么,密码的复杂性只会影响密码输入阶段的“性能”,还是会影响系统的正常使用? 2.算法 几天以来,我一直在阅读有关此内容的文章,但阅读的内容越多,我就会越困惑。我读到的一切都说AES是最快的,而Serpent是最慢的。但不是根据我的笔记本电脑: $ cryptsetup benchmark Tests are approximate using memory only (no storage IO). PBKDF2-sha1 344926 iterations per second PBKDF2-sha256 198593 iterations per second …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.