Armazenando um arquivo de chaves em um LVM criptografado

Question

Armazenando um arquivo de chaves em um LVM criptografado

#1 resposta do (2 votos)

1

Estou usando o RHEL 6.5 e quero criptografar alguns dos meus volumes lógicos (LVM). Para não ter que inserir a frase secreta várias vezes, quero armazenar um arquivo de chaves em um LV criptografado.

Exemplo:

/var/xxx será criptografado e a senha será solicitada durante a inicialização.
/var/xxx/yyy será criptografada e o arquivo de chaves estará sob /var/xxx/keyfile (para mais segurança).

Desta forma, a frase secreta deve ser inserida apenas uma vez.

Meu crypttab :

LogVolXxx          /dev/vg/LogVolXxx         none
LogVolXxxYyy       /dev/vg/LogVolXxxYyy      /var/xxx/keyfile  luks

Meu fstab :

[...]
/dev/mapper/vg-LogVolAaa      /Aaa           ext4    noatime        1 2
/dev/mapper/LogVolXxx         /var/Xxx       ext4    noatime        1 2
/dev/mapper/LogVolXxxYyy      /var/Xxx/Yyy   ext4    noatime        1 2
[...]

Um problema aparece durante a inicialização, o arquivo de chaves não foi encontrado. Suponho que o sistema esteja tentando descriptografar o dispositivo antes de montá-lo.

Como posso lidar com isso?

mount luks fstab cryptsetup linux

por Bob Sauvage 06.08.2014 / 11:47

1 resposta

Tags mount luks fstab cryptsetup linux

O que está me impedindo de gravar a saída dos meus alto-falantes? como descobrir qual cadeia no iptables na listagem

score 2 · Answer 1

No final, eu segui os conselhos do @frostschutz. Eu usei uma chave criptografada de LV como !

lvcreate -L 4M -n LogVolKey vg
cryptsetup luksFormat /dev/vg/LogVolKey (aqui definimos a senha global)
cryptsetup luksOpen /dev/vg/LogVolKey LogVolKeyDecrypted
dd if=/dev/urandom of=/dev/mapper/LogVolKeyDecrypted
cryptsetup luksFormat /dev/vg/LogVolXxx (aqui definimos a mesma frase secreta)
cryptsetup luksAddKey /dev/vg/LogVolXxx /dev/mapper/LogVolKeyDecrypted
cryptsetup luksOpen /dev/vg/LogVolXxx LogVolXxxDecrypted -d /dev/mapper/LogVolKeyDecrypted
dd if=/dev/urandom of=/dev/mapper/LogVolXxxDecrypted
mkfs.ext4 /dev/mapper/LogVolXxxDecrypted

Nota: Uma mensagem de aviso aparece durante a inicialização: INSECURE MODE FOR /dev/mapper/LogVolKey . Esta mensagem é exibida se o grupo é diferente de "root" e este é o caso, o grupo é "disco", por padrão nenhum usuário deve estar neste grupo de qualquer maneira, então nada inseguro sobre isso.

Nota 2: aparece uma segunda mensagem: "Warning: exhausting read requested, but key file is not a regular file, function might never return. . De fato, desbloquear dispositivos leva algumas vezes, mas não muito.