私のPCにFedora 14とUbuntu 10.04 LTSがインストールされています。両方のインストールでは、aes256でdm_crypt / LVMを使用しました(それぞれ暗号化された2つのボリュームグループなので、このシステムには2つの別々の暗号化されたLinuxディストリビューションがあります)。暗号化されたVGのパスワードを変更するには?
ベストアンサー1
がなければどうすればいいかわかりませんcryptsetup。方法を見つけたら修正します。しかし、他の方法で助けることができると思います。
暗号化が物事の全体的な計画にどのように適合するかを明確に理解する必要があると思います。
dm_cryptブロックデバイスのように見えるものはすべて、ユーザースペースユーティリティを介して処理できますcryptsetup。これは、フルハードドライブ(たとえば/dev/sda)、そのハードドライブの単一パーティション(たとえば/dev/sda1)、またはVG(ボリュームグループ、つまり/dev/volume_group)です。
VGは以前にpvcreate1つ以上の物理ディスクパーティション(VGなど/dev/sda1)で使用され、物理ボリューム(PV)になりました。次に、すべてのPVを使用してVGに接続し、vgcreateVGを表す新しいデバイスを作成します/dev。 VGを作成したら、mkfs.ext4 /dev/volume_groupand then mount /dev/volume_grouptowhereなどのコマンドを実行してフォーマットする必要があります。ルートとして実行される簡単なコマンドを見ると、mountシステムが現在どこにあるのかがわかります。
暗号化されたボリュームは、ブロックデバイス(物理ディスクまたはVG)を渡すことによって作成する必要がありますcryptsetup luksFormat。この時点でパスワードを入力するか、キーファイルを指定できます。その後、それを使用するには適切なブロックデバイスを開く必要があります。cryptsetup luksOpenこれにより、以前に割り当てたパスワードの入力を求めるメッセージが表示されるか、キーファイルを指定できます。つまり/dev/mapper、/dev/mapper/encrypted。暗号化されたブロックデバイスを実際に使用できるようにmkfs.ext4、、、などのfsckツールを提供したいと思います。mount
重要:これを実行する前に、またはコマンドをcryptsetup luksFormat使用してディスクの空き容量を任意のデータで上書きする必要があります。そうしないと、事前に行わないと、相手はディスクに書き込んだ場所と書き込んでいない場所を知ることができます。ddbadblocksluksFormat
単一のハードドライブで暗号化と組み合わせたボリュームグループを使用する目的は通常、ディスクパーティション化と同じ目的を達成することですが、暗号化されたボリューム内にあるため、ロックを解除しないと「パーティション」スキームを見つけることはできません。したがって、ディスク全体をインポートして暗号化されたボリュームを作成し、、、、およびを使用してpvcreate論理ボリュームを作成し、パーティションのようにマウントできます。 (これは説明します:vgcreatelvcreatehttp://linuxgazette.net/140/kapil.html)
実際にボリュームをマウント解除するには、umount /dev/mapper/encryptedファイルシステムを取り外してからcryptsetup luksClose encrypted仮想ブロックデバイスを切断する必要があります。
cryptsetupキーを追加(luksAddKey)して削除(luksDelKey)できます。ボリュームごとに最大8つのキーを持つことができると思います。新しいキーを追加し、古いキーを削除してキーを変更します。
すべてのオプションの具体的な構文cryptsetupは次のとおりです。http://linux.die.net/man/8/cryptsetup