Armazenando um arquivo de chaves em um LVM criptografado

1

Estou usando o RHEL 6.5 e quero criptografar alguns dos meus volumes lógicos (LVM). Para não ter que inserir a frase secreta várias vezes, quero armazenar um arquivo de chaves em um LV criptografado.

Exemplo:

/var/xxx será criptografado e a senha será solicitada durante a inicialização.
/var/xxx/yyy será criptografada e o arquivo de chaves estará sob /var/xxx/keyfile (para mais segurança).

Desta forma, a frase secreta deve ser inserida apenas uma vez.

Meu crypttab :

LogVolXxx          /dev/vg/LogVolXxx         none
LogVolXxxYyy       /dev/vg/LogVolXxxYyy      /var/xxx/keyfile  luks

Meu fstab :

[...]
/dev/mapper/vg-LogVolAaa      /Aaa           ext4    noatime        1 2
/dev/mapper/LogVolXxx         /var/Xxx       ext4    noatime        1 2
/dev/mapper/LogVolXxxYyy      /var/Xxx/Yyy   ext4    noatime        1 2
[...]

Um problema aparece durante a inicialização, o arquivo de chaves não foi encontrado. Suponho que o sistema esteja tentando descriptografar o dispositivo antes de montá-lo.

Como posso lidar com isso?

    
por Bob Sauvage 06.08.2014 / 11:47

1 resposta

2

No final, eu segui os conselhos do @frostschutz. Eu usei uma chave criptografada de LV como !

  1. lvcreate -L 4M -n LogVolKey vg
  2. cryptsetup luksFormat /dev/vg/LogVolKey (aqui definimos a senha global)
  3. cryptsetup luksOpen /dev/vg/LogVolKey LogVolKeyDecrypted
  4. dd if=/dev/urandom of=/dev/mapper/LogVolKeyDecrypted
  5. cryptsetup luksFormat /dev/vg/LogVolXxx (aqui definimos a mesma frase secreta)
  6. cryptsetup luksAddKey /dev/vg/LogVolXxx /dev/mapper/LogVolKeyDecrypted
  7. cryptsetup luksOpen /dev/vg/LogVolXxx LogVolXxxDecrypted -d /dev/mapper/LogVolKeyDecrypted
  8. dd if=/dev/urandom of=/dev/mapper/LogVolXxxDecrypted
  9. mkfs.ext4 /dev/mapper/LogVolXxxDecrypted

Nota: Uma mensagem de aviso aparece durante a inicialização: INSECURE MODE FOR /dev/mapper/LogVolKey . Esta mensagem é exibida se o grupo é diferente de "root" e este é o caso, o grupo é "disco", por padrão nenhum usuário deve estar neste grupo de qualquer maneira, então nada inseguro sobre isso.

Nota 2: aparece uma segunda mensagem: "Warning: exhausting read requested, but key file is not a regular file, function might never return. . De fato, desbloquear dispositivos leva algumas vezes, mas não muito.

    
por 06.08.2014 / 19:29