cryptsetup
cryptsetup | |
---|---|
Käyttöliittymä | teksti |
Lisenssi | GPLv2+, LGPLv2+ |
Kotisivu | gitlab.com/cryptsetup/cryptsetup |
cryptsetup on työkalu salattujen levyosioiden luomiseen ja hallintaan Linuxissa. Sen avulla voidaan tehdä paljaita dm-crypt-osioita tai LUKS:lla kuorrutettuja osioita.
Nykyisin LUKS/dm-crypt on kuitenkin de facto standardin asemassa Linux-maailmassa sen helppouden, sekä sen tarjoamien lisäominaisuuksien takia. Myös useimmat jakelut tarjoavat järjestelmän salauksen LUKS/dm-crypt -menetelmällä jakelun asennusvaiheessa.
Asennus[muokkaa]
cryptsetup on oletuksena asennettuna useimmissa jakeluissa, mutta mikäli sitä ei ole, voidaan se asentaa manuaalisesti. cryptsetup löytyy useimpien jakeluiden paketinhallinnasta nimellä cryptsetup. Lisätietoja ohjelmien asentamisesta löytyy artikkelista Ohjelmien asentaminen.
LUKS/dm-crypt[muokkaa]
Tämä esimerkki käsittelee kiintolevyn salaamista LUKS/dm-crypt -menetelmällä. Salattaessa laitetta on ensin luotava LUKS-otsakkeet laitteelle (-v antaa ihmisen luettavan tulosteen):
# cryptsetup -v luksFormat /dev/sdX
Komento kysyy salauksessa käytettävän salasanan ja luo LUKS-otsakkeet oletusasetuksilla laitteelle. Tarvittaessa asetuksia voidaan kuitenkin muuttaa. Esimerkiksi tiivistefunktiota voidaan muuttaa -h -valitsimella ja avaimen kokoa -s -valitsimella.
# cryptsetup -v -s 512 -h sha512 luksFormat /dev/sdX
Luotuja LUKS-otsakkeita voidaan tutkia komennolla:
# cryptsetup luksDump /dev/sdX
Kun otsakkeet on luotu, voidaan luotu osio avata. Osio liitetään /dev/mapper/ hakemiston alle halutulla nimellä. Olkoon nimi tässä esimerkissä salattu:
# cryptsetup open --type luks /dev/sdX salattu
Osiolle ei ole vielä luotu tiedostojärjestelmää, jonka takia sinne ei voida vielä tallentaa tiedostoja. Tiedostojärjestelmäksi voidaan valita oma suosikki, käytetään tässä esimerkissä XFS-tiedostojärjestelmää:
# mkfs.xfs /dev/mapper/salattu
Lopuksi salattu osio voidaan sulkea komennolla:
# cryptsetup close salattu
LUKS-otsakkeet kannattaa varmuuskopioida, sillä salattua osiota ei voida avata mikäli ne korruptoituvat. Tehdään varmuuskopio luks-varmuuskopio.img-tiedostoon:
# cryptsetup luksHeaderBackup /dev/sdX --header-backup-file luks-varmuuskopio.img
Luonnollisesti varmuuskopio kannattaa tallentaa jollekin ulkoiselle medialle, esimerkiksi CD-levylle.
Tarvittaessa otsakkeet voidaan palauttaa komennolla:
# cryptsetup luksHeaderRestore /dev/sdX --header-backup-file luks-varmuuskopio.img