Questions tagged «luks»

如何更改现有 dm-crypt LUKS设备的哈希规范和迭代时间？ 显然，如果我创建新设备，则可以传递选项，例如： sudo cryptsetup luksFormat --cipher aes-cbc-essiv:sha256 --key-size 256 --iter-time 2100 --hash sha512 /dev/loop0 但是，如果该设备已经存在，我怎么能例如更改sha256到sha1或改变迭代时间没有“破坏”的设备。（显然，由于将生成新的哈希，因此您必须重新输入密码。）

11 luks  dm-crypt 

我有一个运行Debian 7的完全加密的服务器，并设置了dropbear和busybox来通过SSH解锁LUKS容器（如本教程和本U＆L回答中所述）。 不幸的是，每当我尝试在重新引导时通过SSH SSH到服务器（通过LAN）时，都会出现“拒绝连接”错误。我曾尝试telnet和nmap到默认端口（22），并都表示端口被封闭。 服务器具有ufw接受来自LAN的所有流量的规则： Anywhere ALLOW 192.168.1.0/24 我曾试图改变端口上监听dropbear /etc/defaults/dropbear但ssh和telnet仍然拒绝连接1。 如何确保在引导过程中的那个阶段打开了端口，以便可以连接以解锁LUKS容器？ 禁用防火墙没有区别：nmap显示所有端口仍处于关闭状态。 更新2/14 我添加break=premount到内核​​行，并在initramfs中进行了戳戳。dropbear已启动，但此时网络还没有建立。退出后，网络启动并继续引导，直到提示解锁LUKS设备。 此时，网络已启动，并且已为主机分配了正确的IP地址，但端口22仍然关闭。 /etc/initramfs-tools/intiramfs.conf我正在使用的IP线路是： export IP=192.168.1.200::192.168.1.1:255.255.255.0::eth0:off 与/usr/share/doc/cryptsetup/README.remote.gz我尝试仅添加设备选项中的指示一致，但这不足以使网络启动并获得dhcp租约。 更新11/10/14 Karl的回答是需要的：设置/etc/initramfs-tools/conf.d/cryptroot是关键： target=md1_crypt,source=UUID=8570d12k-ccha-4985-s09f-e43dhed9fa2a 该指南还被证明是最新和相关的（并且是成功的）。

11 ssh  networking  luks 

我在RAID-1系统加密设备（LUKS上的LVM）上安装了Debian Linux系统（amd64），并且RAID-6的磁盘数量大于或等于4，我将在其中放置数据（LUKS以及LVM）。 我认为基本思想是解锁系统加密分区（在本地启动时或通过ssh），并将密钥文件存储在RAID-6加密分区的/ etc / crypttab中。这会带来安全风险吗？我的意思是……如果任何人都只能在本地/远程进入我的系统，那将是毫无用处的，而且我认为在服务器上运行的许多服务很容易“生根”（例如SSH）。是否有替代方法（除了通过SSH解锁分区之外，这可能是个问题，因为例如备份操作甚至在安装数据分区之前就已开始）。 在另一台计算机上，我将使用具有LUKS + greyhole（无RAID-6）的多个磁盘进行备份，而通过输入10倍相同的密码来解锁10个磁盘将是一件很痛苦的事情……

11 linux  security  encryption  raid  luks 

在nautilus或caja我单击加密磁盘的图标并输入密码时，基础块设备将映射到/dev/mapper/luks-$UUID该设备，并将其挂载在/media/$USER/$DISK，而无需root密码。有没有一种方法可以在没有GUI的情况下从命令行调用此过程，包括避免sudo并使挂载点能够从GUI再次卸载。

11 linux  mount  luks  gvfs  caja 

遵循Kali Linux文档“使用LUKS加密添加USB持久性”之后，我创建了一个持久性分区并使用以下方法对卷进行了加密： cryptsetup --verbose --verify-passphrase luksFormat /dev/sdb2 cryptsetup luksOpen /dev/sdb2 my_usb mkfs.ext3 -L persistence /dev/mapper/my_usb e2label /dev/mapper/my_usb persistence mkdir -p /mnt/my_usb mount /dev/mapper/my_usb /mnt/my_usb echo "/ union" > /mnt/my_usb/persistence.conf umount /dev/mapper/my_usb （用卷名代替“ my_usb”） 但是，我忘了关闭卷（在文档的下一页中隐藏了以下行，因此我没有看到它）： cryptsetup luksClose /dev/mapper/my_usb 这有问题吗？如果是这样，如何并且有什么方法可以修复它？ 本文建议这样做，但没有说明原因，这些说明对我不起作用。 磁盘似乎可以正常工作。

10 kali-linux  live-usb  luks 

我通过创建了一个加密的容器 #!/bin/bash dd if=/dev/zero of=$1 bs=1 count=0 seek=$2 MAPPER=$(mktemp -up /dev/mapper) LOOPDEV=$(losetup --find --show $1) cryptsetup luksFormat $LOOPDEV cryptsetup luksOpen $LOOPDEV $(basename $MAPPER) mkfs.ext3 $MAPPER cryptsetup luksClose $MAPPER losetup -d $LOOPDEV 例如container，为此脚本指定的文件将包含通过加密的ext3文件系统cryptsetup luksFormat。 要安装它，我目前使用另一个脚本，说dm.mount container /mnt/decrypted： #!/bin/bash set -e MAPPER=$(mktemp -up /dev/mapper) LOOPDEV=$(losetup --find --show $1) cryptsetup luksOpen $LOOPDEV $(basename …

9 mount  luks  dm-crypt  cryptsetup 

我已经使用GRUB_ENABLE_CRYPTODISK=y在/etc/default/grub允许的一切陆氏加密除了我的EFI分区，我安装到/boot/efi。这很好。唯一可以承认的小问题是，如果我碰巧输入了错误的密码，就不会再有机会了。相反，大约10秒钟后，我被GRUB rescue>提示。是否可以在此提示符下键入任何内容以重试，还是必须关闭电源然后再打开？

8 grub2  luks 

我决定用LUKS + LVM加密我的根分区。 我的ThinkPad设置： 三星830 128GB SSD 750GB硬盘 酷睿2双核2.5 GHz P9500 8GB RAM 但是我读得越多，对以下两个主题的理解就越少： 1a。密码 我打算使用SHA1而不是2/512（如某些建议所示），因为cryptsetupFAQ 中的引号是： 5.20 LUKS坏了！它使用SHA-1！ 不它不是。SHA-1（在学术上）被破坏是为了查找冲突，但不是为了在密钥派生函数中使用它。并且该碰撞漏洞仅用于非迭代用途。并且您需要逐字地散列值。 这基本上意味着，如果您已经有一个插槽键，并且已将PBKDF2迭代计数设置为1（通常大于10,000），则可以（也许）派生出不同的密码短语，从而为您提供相同的插槽-键。但是，如果您具有插槽键，则已经可以解锁键槽并获得主键，从而破坏了一切。因此，从根本上讲，此SHA-1漏洞使您可以在打开LUKS容器时费劲地打开它。 真正的问题是人们不了解加密并声称事物被破坏只是因为某些特定用途的机制被破坏了。该机制的使用方式非常重要。一种用途被破坏的哈希可以完全安全地用于其他用途，这里就是。 我读为“除了SHA-1之外，没有任何其他用途”。但是后来有人告诉我，那不完全是那样。所以我不再知道该怎么想。 1b。 另外，一旦磁盘解锁并登录系统，我就找不到密码对磁盘读/写/查找性能是否有任何影响的任何信息。 那么，密码的复杂性只会影响密码输入阶段的“性能”，还是会影响系统的正常使用？ 2.算法 几天以来，我一直在阅读有关此内容的文章，但阅读的内容越多，我就会越困惑。我读到的一切都说AES是最快的，而Serpent是最慢的。但不是根据我的笔记本电脑： $ cryptsetup benchmark Tests are approximate using memory only (no storage IO). PBKDF2-sha1 344926 iterations per second PBKDF2-sha256 198593 iterations per second …

8 linux  encryption  luks  dm-crypt  cryptsetup