安裝後如何更改 dm_crypt aes/256 LVM 密碼?
我在我的 PC 上安裝了 Fedora 14 和 Ubuntu 10.04 LTS。我在兩個安裝中都使用了 dm_crypt/LVM 和 aes256(2 個 VolumeGroup,每個都加密,所以這台機器上有 2 個分離和加密的 linux 發行版)。如何更改加密 VG 的密碼?
我不知道沒有
cryptsetup. 如果我找到辦法,我會編輯這個。但我想我可以幫助你解決其他所有問題。我認為您需要明確加密如何融入宏觀計劃。
dm_crypt,通過cryptsetup使用者空間實用程序,適用於任何看起來像塊設備的東西。這可以是整個硬碟驅動器 (ie/dev/sda)、該硬碟驅動器的單個分區 (ie/dev/sda1) 或 VG(卷組,ie/dev/volume_group)。
pvcreate通過在一個或多個真實磁碟分區(如)上使用, VG 之前已成為 PV(物理卷/dev/sda1)。然後,使用 將所有 PV 連接成一個 VGvgcreate,然後在 中創建一個代表 VG 的新設備/dev。創建 VG 後,您需要通過發出命令來格式化它,例如mkfs.ext4 /dev/volume_group, 然後mount /dev/volume_group到任何地方。查看以mountroot 身份執行的普通命令應該可以讓您了解系統上目前的位置。必須通過將塊設備(無論是真實磁碟還是 VG)傳遞給
cryptsetup luksFormat. 那時您可以輸入密碼或指定密鑰文件。然後,要使用它,您需要使用打開該塊設備cryptsetup luksOpen(它會提示您輸入先前分配的密碼,或者您可以指定一個密鑰文件);這將在 中創建另一個“虛擬”塊設備/dev/mapper,即/dev/mapper/encrypted。這就是您想要提供給 , 等工具的內容mkfs.ext4,fsck並mount實際使用加密的塊設備。重要提示:在您執行此操作之前,
cryptsetup luksFormat您希望使用隨機數據覆蓋磁碟上的可用空間,無論是使用dd還是badblocks命令。luksFormat不這樣做,如果你事先不這樣做,對手可能會知道你在哪裡寫到磁碟上,你在哪裡沒有寫。將捲組與單個硬碟驅動器上的加密結合使用的目的通常與磁碟分區的目的相同,但由於它位於加密卷內,因此除非將其解鎖,否則無法發現您的“分區”方案。所以你需要一個完整的磁碟,創建一個加密卷,然後使用
pvcreate,vgcreate, 和lvcreate創建邏輯卷,然後像分區一樣掛載它們。(這解釋了它: http: //linuxgazette.net/140/kapil.html)真正解除安裝卷將涉及
umount /dev/mapper/encrypted斷開文件系統,然後cryptsetup luksClose encrypted斷開虛擬塊設備。
cryptsetup允許添加 (luksAddKey) 和刪除 (luksDelKey) 鍵。我認為加密卷上最多可以有 8 個密鑰。通過添加新密鑰然後刪除舊密鑰來更改密鑰。所有選項的具體語法在
cryptsetup這裡: http: //linux.die.net/man/8/cryptsetup