LUKSを使用して完全にディスク暗号化されたUSBフラッシュドライブがあります。ドライブを接続し、以下を使用してマウントしました。
cryptsetup luksOpen /dev/sdb flash
mount /dev/mapper/flash /mnt/flash
フラッシュドライブを物理的に取り外しても、/mnt/flash のコンテンツに引き続きアクセスできます。なぜこれですか?フラッシュドライブが物理的に取り外されると、フラッシュドライブのコンテンツにアクセスできなくなると予想されるため、これはセキュリティ上のリスクだと思います。
これを達成するにはどうすればよいですか?他のコンピュータで使用されるため、ドライブにできることである必要があり、ドライブを安全に保つためにこれらすべてを変更する必要はありません。
ベストアンサー1
プロセスのいくつかのステップをスキップしたようです。あなたは:
- ドライブの挿入
cryptsetup luksOpen /dev/sdb flash
mount /dev/mapper/flash /mnt/flash
- ドライブを正常に使用してください。
umount /mnt/flash
cryptsetup close flash
- ドライブの取り外し
の逆数はmount
であるumount
。取り外したドライブを試してみると、umount
システムが実行したい操作によって中断される可能性があります。このcryptsetup close
ステップでは、ドライブマッピングをさらに削除し、カーネルメモリから暗号化キーを削除します。
デバイスを呼び出さずに物理的に削除すると、すべての(メタ)データがデバイスに正しく書き込まれたという保証はありませんumount
。暗号化キーは電話をかけるまでメモリに残りますcryptsetup close
。これを念頭に置いて、次のステップをスキップしてはいけません。