cryptsetup

Linux.fista
Versio hetkellä 22. lokakuuta 2016 kello 10.21 – tehnyt Oselotti (keskustelu | muokkaukset) (→‎LUKS/dm-crypt)
Siirry navigaatioon Siirry hakuun


cryptsetup
Käyttöliittymä teksti
Lisenssi GPLv2+, LGPLv2+
Kotisivu gitlab.com/cryptsetup/cryptsetup

cryptsetup on työkalu salattujen levyosioiden luomiseen ja hallintaan Linuxissa. Sen avulla voidaan tehdä paljaita dm-crypt-osioita tai LUKS:lla kuorrutettuja osioita.

Nykyisin LUKS/dm-crypt on kuitenkin de facto standardin asemassa Linux-maailmassa sen helppouden, sekä sen tarjoamien lisäominaisuuksien takia. Myös useimmat jakelut tarjoavat järjestelmän salauksen LUKS/dm-crypt -menetelmällä jakelun asennusvaiheessa.

Asennus

cryptsetup on oletuksena asennettuna useimmissa jakeluissa, mutta mikäli sitä ei ole, voidaan se asentaa manuaalisesti. cryptsetup löytyy useimpien jakeluiden paketinhallinnasta nimellä cryptsetup. Lisätietoja ohjelmien asentamisesta löytyy artikkelista Ohjelmien asentaminen.

LUKS/dm-crypt

Tämä esimerkki käsittelee kiintolevyn salaamista LUKS/dm-crypt -menetelmällä. Salattaessa laitetta on ensin luotava LUKS-otsakkeet laitteelle (-v antaa ihmisen luettavan tulosteen):

# cryptsetup -v luksFormat /dev/sdX

Komento kysyy salauksessa käytettävän salasanan ja luo LUKS-otsakkeet oletusasetuksilla laitteelle. Tarvittaessa asetuksia voidaan kuitenkin muuttaa. Esimerkiksi tiivistefunktiota voidaan muuttaa -h -valitsimella ja avaimen kokoa -s -valitsimella.

# cryptsetup -v -s 512 -h sha512 luksFormat /dev/sdX

Luotuja LUKS-otsakkeita voidaan tutkia komennolla:

# cryptsetup luksDump /dev/sdX

Kun otsakkeet on luotu, voidaan luotu osio avata. Osio liitetään /dev/mapper/ hakemiston alle halutulla nimellä. Olkoon nimi tässä esimerkissä salattu:

# cryptsetup open --type luks /dev/sdX salattu

Osiolle ei ole vielä luotu tiedostojärjestelmää, jonka takia sinne ei voida vielä tallentaa tiedostoja. Tiedostojärjestelmäksi voidaan valita oma suosikki, käytetään tässä esimerkissä XFS-tiedostojärjestelmää:

# mkfs.xfs /dev/mapper/salattu

Lopuksi salattu osio voidaan sulkea komennolla:

# cryptsetup close salattu

LUKS-otsakkeet kannattaa varmuuskopioida, sillä salattua osiota ei voida avata mikäli ne korruptoituvat. Tehdään varmuuskopio luks-varmuuskopio.img-tiedostoon:

# cryptsetup luksHeaderBackup /dev/sdX --header-backup-file luks-varmuuskopio.img

Luonnollisesti varmuuskopio kannattaa tallentaa jollekin ulkoiselle medialle, esimerkiksi CD-levylle.