cryptsetup
cryptsetup | |
---|---|
Käyttöliittymä | teksti |
Lisenssi | GPLv2+, LGPLv2+ |
Kotisivu | gitlab.com/cryptsetup/cryptsetup |
cryptsetup on työkalu salattujen levyosioiden luomiseen ja hallintaan Linuxissa. Sen avulla voidaan tehdä paljaita dm-crypt-osioita tai LUKS:lla kuorrutettuja osioita.
Nykyisin LUKS/dm-crypt on kuitenkin de facto standardin asemassa Linux-maailmassa sen helppouden, sekä sen tarjoamien lisäominaisuuksien takia. Myös useimmat jakelut tarjoavat järjestelmän salauksen LUKS/dm-crypt -menetelmällä jakelun asennusvaiheessa.
Asennus
cryptsetup on oletuksena asennettuna useimmissa jakeluissa, mutta mikäli sitä ei ole, voidaan se asentaa manuaalisesti. cryptsetup löytyy useimpien jakeluiden paketinhallinnasta nimellä cryptsetup. Lisätietoja ohjelmien asentamisesta löytyy artikkelista Ohjelmien asentaminen.
LUKS/dm-crypt
Tämä esimerkki käsittelee kiintolevyn salaamista LUKS/dm-crypt -menetelmällä. Salattaessa laitetta on ensin luotava LUKS-otsakkeet laitteelle (-v antaa ihmisen luettavan tulosteen):
# cryptsetup -v luksFormat /dev/sdX
Komento kysyy salauksessa käytettävän salasanan ja luo LUKS-otsakkeet oletusasetuksilla laitteelle. Tarvittaessa asetuksia voidaan kuitenkin muuttaa. Esimerkiksi tiivistefunktiota voidaan muuttaa -h -valitsimella ja avaimen kokoa -s -valitsimella.
# cryptsetup -v -s 512 -h sha512 luksFormat /dev/sdX
Luotuja LUKS-otsakkeita voidaan tutkia komennolla:
# cryptsetup luksDump /dev/sdX
Kun otsakkeet on luotu, voidaan luotu osio avata. Osio liitetään /dev/mapper/ hakemiston alle halutulla nimellä. Olkoon nimi tässä esimerkissä salattu:
# cryptsetup open --type luks /dev/sdX salattu
Osiolle ei ole vielä luotu tiedostojärjestelmää, jonka takia sinne ei voida vielä tallentaa tiedostoja. Tiedostojärjestelmäksi voidaan valita oma suosikki, käytetään tässä esimerkissä XFS-tiedostojärjestelmää:
# mkfs.xfs /dev/mapper/salattu
Lopuksi salattu osio voidaan sulkea komennolla:
# cryptsetup close salattu
LUKS-otsakkeet kannattaa varmuuskopioida, sillä salattua osiota ei voida avata mikäli ne korruptoituvat. Tehdään varmuuskopio luks-varmuuskopio.img-tiedostoon:
# cryptsetup luksHeaderBackup /dev/sdX --header-backup-file luks-varmuuskopio.img
Luonnollisesti varmuuskopio kannattaa tallentaa jollekin ulkoiselle medialle, esimerkiksi CD-levylle.
Tarvittaessa otsakkeet voidaan palauttaa komennolla:
# cryptsetup luksHeaderRestore /dev/sdX --header-backup-file luks-varmuuskopio.img