Questions tagged «luks»

通常,特定于LUKS(Linux统一密钥设置)磁盘加密规范的问题,例如设置问题或有关LUKS如何工作的问题。如果您的问题直接涉及LUKS磁盘加密,请使用此标签;如果您恰好正在使用加密的LUKS磁盘,而您的问题是关于特定的Linux配置,请不要使用它。

1
在不知道密码的情况下在LUKS文件系统上更改密码
我有一个使用加密驱动器运行了一段时间的Debian Wheezy服务器。/dev/sda5我的加密密码文件损坏时,加密驱动器()的密码丢失。 我希望能够重新启动此服务器,但是那当然需要该密码。由于驱动器显然处于解密状态,是否可以在不知道旧密码的情况下更改密码? cryptsetup luksChangeKey /dev/sda5 需要该卷的密码。 我当然可以rsync关闭所有内容并进行重建,但是我想避免这种情况。我翻阅了内存(#cat /dev/mem | less),但找不到它(这是一件好事!)。
30 linux  luks 

1
糟糕的通用dm-crypt(LUKS)写入性能
我正在研究一个问题,其中对块设备进行加密在写入时会带来巨大的性能损失。数小时的互联网阅读和实验并没有为我提供适当的了解,更不用说解决方案了。 简而言之,问题是:为什么在将btrfs放在块设备上时,我能获得非常快的写入速度(〜170MB / s),而在两者之间放置dm-crypt / LUKS时,写入速度却急剧下降(〜20MB / s)。文件系统和块设备,尽管该系统还能够维持足够高的加密吞吐量? 情境 /home/schlimmchen/random是一个4.0GB的文件,其中填充了/dev/urandom以前的数据。 dd if=/dev/urandom of=/home/schlimmchen/Documents/random bs=1M count=4096 读起来超级快: $ dd if=/home/schlimmchen/Documents/random of=/dev/null bs=1M 4265841146 bytes (4.3 GB) copied, 6.58036 s, 648 MB/s $ dd if=/home/schlimmchen/Documents/random of=/dev/null bs=1M 4265841146 bytes (4.3 GB) copied, 0.786102 s, 5.4 GB/s (第二次,显然是从缓存中读取了文件)。 未加密的btrfs 该设备直接使用btrfs格式化(块设备上没有分区表)。 $ sudo mkfs.btrfs …

4
扩展LUKS加密分区以填充磁盘
我最近将磁盘从128GB SSD升级到512GB SSD。/分区使用LUKS加密。我正在寻找扩展分区以使用新磁盘上所有可用空间的帮助。我已经将旧驱动器添加到新驱动器中: [root@localhost ~]# fdisk -l /dev/sda Disk /dev/sda: 477 GiB, 512110190592 bytes, 1000215216 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 4096 bytes I/O size (minimum/optimal): 4096 bytes / 4096 bytes Disklabel type: dos Disk identifier: 0x00009f33 Device Boot Start …
20 filesystems  luks 


1
如何更改LUKS密码?
我想更改一个LUKS密码。我想删除旧密码,但想在删除原始密码之前尝试使用新密码。我显然知道旧密码。我想使用终端而不是GUI。 我在驱动器上有敏感数据,宁愿不必使用备份,因此我需要安全的方法。

2
确定哪个密码短语在哪个插槽中
我有一个由luks加密的分区,该分区受密码短语和密钥文件保护。密钥文件用于日常访问,而密码则放在密封的信封中以备不时之需。五月过去了,我不小心粉碎了密钥文件,因此我使用了信封中的密码短语进行了恢复。现在我想知道,我有两个活动密钥槽,但是我不知道哪个包含无用的密钥文件密码短语,哪个包含我的紧急密码短语。显然,如果删除错误的驱动器,则会丢失驱动器上的所有数据。 #cryptsetup luksDump /dev/sda2 LUKS header information for /dev/sda2 Version: 1 Cipher name: aes Cipher mode: xts-plain64 Hash spec: sha256 Payload offset: 4096 MK bits: 256 MK digest: xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx MK salt: …
15 luks 

3
备份LUKS加密设备的最佳实践
什么是最快的方法来备份和恢复陆氏加密设备(如一个完整的加密的USB设备到一个图像文件)。 可以对USB设备进行解密/访问。我正在寻找一种将备份映像安装为文件(加密)的解决方案。有可能吗 保持简单,愚蠢。
15 linux  usb  backup  encryption  luks 


2
如何缩小LUKS分区,`cryptsetup resize`会做什么?
我正在调整包含单个ext4文件系统(没有LVM等)的LUKS加密分区的大小。该cryptsetup FAQ建议删除旧的分区并重新创建它,但是,像浪费了很多时间的声音。因此,我想手动进行操作,仔细调整分区的大小。 到目前为止,我认为我需要做: 创建文件系统的(加密)备份。重要!在执行以下任务时,您不会是第一个丢失数据的人。 卸载现有的ext4文件系统(例如,通过引导到Live CD)。如果从Live CD引导,请使用以下命令挂载加密分区:cryptsetup luksOpen /dev/sdXY ExistingExt4 调整现有ext4文件系统的大小。 cryptsetup resize /dev/mapper/ExistingExt4 -b $SECTORS 使用以下命令关闭/“卸载” LUKS分区 cryptsetup luksClose ExistingExt4 缩小分区大小。 以上步骤正确吗? 在第4步中,我应该选择$SECTORS什么?这一步是否有必要?该cryptsetup手册是不是真正描述性的resize选项: resize <name> resizes an active mapping <name>. If --size (in sectors) is not specified, the size of the underlying block device is used. 最后,如果我将ext4分区缩小15 GiB,可以安全地假定可以使用来从现有分区中删除15 GiB …

4
如何识别LVM over LUKS或LUKS over LVM
我最近安装了Fedora20。我不记得我在安装过程中选择了哪些确切的选项来加密磁盘/ LVM。它安装正常,我可以登录等。这是我的情况: 我使用LiveCD启动并尝试了以下操作:(我已将Fedora20安装到/ dev / sda3'分区中)。 如果我运行,cryptsetup open /dev/sda3 fedo我会收到一条错误消息,说它不是LUKS设备。 II运行,cryptsetup luksDump /dev/sda3我收到一个错误消息,说它不是LUKS设备 如果我运行cryptsetup open --type plain /dev/sda3 fedo,它将提示您输入密码,并且可以正常打开设备。 因此,显然,这是一个纯文本加密的(没有LUKS头)分区。 现在,当我尝试跑步时mount /dev/mapper/fedo /mnt/fedora,它说unknown crypto_LUKS filesystem。 我有LVM在它的上面,这样,我可以运行pvdisplay,vgdisplay,lvdisplay它显示的信息。我有一个VG fedora和两个LV,即用于交换分区的00和用于/分区的01。 现在,如果执行此操作,则cryptsetup luksDump /dev/fedora/01可以看到LUKS标头等。而且,我可以通过运行挂载mount /dev/fedora/00 /mnt/fedora,而无需输入密码提示。 那么,我是否有一个LUKS-over-LVM-over-(纯文本)加密的分区? 这是我的输出lsblk: #lsblk 名称:最低RM尺寸RO型MOUNTPOINT sda 8:0 0 37.3G 0磁盘 | -sda3 8:3 0 17.4G 0部分 | -fedora-00 253:0 …
14 fedora  lvm  encryption  luks 


4
如何在dm-crypt + LUKS容器上设置标签?
我刚收到一个新的USB闪存驱动器,并在其上设置了2个加密分区。我通过使用了dm-crypt(LUKS模式)cryptsetup。通过附加的非加密分区,驱动器具有以下结构: /dev/sdb1加密后,隐藏标记为“分区1”的ext4文件系统。 /dev/sdb2加密,隐藏另一个名为“分区2”的ext4文件系统。 /dev/sdb3,清晰可见的ext4文件系统,标记为“分区3”。 因为标签是贴在ext4文件系统上的,所以只要分区未被解密,前两个标签就完全不可见。这意味着,与此同时,LUKS容器没有标签。使用GNOME(自动挂载)时,这尤其令人讨厌,在这种情况下,分区显示为“ x GB加密 ”和“ y GB加密 ”,直到我决定将其解锁。 这并不是一个真正的阻塞问题,但是很烦人,因为我真的很喜欢我的标签,并且希望即使在我的分区仍被加密的情况下也能看到它们。 因此,有没有办法将标签附加到dm-crypt + LUKS容器,就像我们将标签附加到ext4文件系统一样?dm-crypt + LUKS标头是否为此留有空间,如果可以的话,如何设置标签? 请注意,我不想在解密之前公开ext4标签,这很愚蠢。我想在容器中添加其他标签,这些标签可能在ext4标签被隐藏时出现。

2
如何删除LUKS加密?
我尝试使用以下命令删除主目录上的LUKS加密: cryptsetup luksRemoveKey /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd 但这给了我一个错误: 设备/ dev / mapper / luks-3fd5-235-26-2625-2456f-4353fgdgd不是有效的LUKS设备。 不解,我尝试了以下方法: cryptsetup status luks-3fd5-235-26-2625-2456f-4353fgdgd 它说: /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd is active and is in use. type: LUKS1 cipher: ... 似乎加密的设备处于活动状态,但无效。这有什么问题吗?
12 linux  encryption  luks 

2
远程开启加密系统
我的系统中充满了非常敏感的数据,因此我需要尽可能地对其进行加密。 我有一个加密的Debian安装程序,每次引导时都要求输入长密码。有没有简单的设置方法,以便我可以远程输入该密码? 如果其他发行版可以做到,那么我不介意安装其他东西代替Debian。
11 debian  remote  luks 

2
抵御邪恶的女仆,如何处理/ boot分区的删除
使用LUKS全盘加密时,您将如何防范邪恶的女仆? 邪恶的女仆攻击是当有人在您不在时对您的计算机进行物理访问并破坏未加密的/ boot分区以在您下次启动计算机时捕获FDE密码 解决方案之一是将/ boot分区留在随身携带的USB记忆棒上(女仆无法进入),但是我应该在哪个USB文件系统上使用它,以及如何配置系统以妥善处理删除操作的USB记忆棒(以及/ boot分区本身)? 我正在使用CentOS,但是当然欢迎通用的,与发行版无关的答案。谢谢。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.