暗号化されたLVMにキーファイルを保存する

tag-icon tag-icon linux mount fstab luks cryptsetup
暗号化されたLVMにキーファイルを保存する

私はRHEL 6.5を使用しており、論理ボリューム(LVM)の一部を暗号化したいと思います。パスワードを何度も入力しないように、暗号化されたLVにキーファイルを保存したいと思います。

例:

/var/xxx暗号化され、起動中にパスワードの入力を求められます。
/var/xxx/yyy暗号化され、鍵ファイルを見つけます/var/xxx/keyfile(セキュリティを強化するため)。

これにより、パスワードを一度だけ入力できます。

私のものcrypttab

LogVolXxx          /dev/vg/LogVolXxx         none
LogVolXxxYyy       /dev/vg/LogVolXxxYyy      /var/xxx/keyfile  luks

私のものfstab

[...]
/dev/mapper/vg-LogVolAaa      /Aaa           ext4    noatime        1 2
/dev/mapper/LogVolXxx         /var/Xxx       ext4    noatime        1 2
/dev/mapper/LogVolXxxYyy      /var/Xxx/Yyy   ext4    noatime        1 2
[...]

起動時に問題が発生したため、キーファイルが見つかりません。システムがデバイスをマウントする前に、デバイスの復号化を試みているようです。

この問題にどのように対処する必要がありますか?

ベストアンサー1

最後に@frostschutzのアドバイスに従いました。暗号化されたLVを使用しました〜のように鍵!

  1. lvcreate -L 4M -n LogVolKey vg
  2. cryptsetup luksFormat /dev/vg/LogVolKey(ここではグローバルパスワードを設定しました)
  3. cryptsetup luksOpen /dev/vg/LogVolKey LogVolKeyDecrypted
  4. dd if=/dev/urandom of=/dev/mapper/LogVolKeyDecrypted
  5. cryptsetup luksFormat /dev/vg/LogVolXxx(ここでは同じパスワードを設定しました)
  6. cryptsetup luksAddKey /dev/vg/LogVolXxx /dev/mapper/LogVolKeyDecrypted
  7. cryptsetup luksOpen /dev/vg/LogVolXxx LogVolXxxDecrypted -d /dev/mapper/LogVolKeyDecrypted
  8. dd if=/dev/urandom of=/dev/mapper/LogVolXxxDecrypted
  9. mkfs.ext4 /dev/mapper/LogVolXxxDecrypted

注:起動中は、次の警告メッセージが表示されますINSECURE MODE FOR /dev/mapper/LogVolKey。このメッセージは、グループが「root」と異なる場合に表示されます。この場合、グループは「disk」です。デフォルトでは、どのユーザーもこのグループに属してはいけません。安全ではありません。

注2:2番目のメッセージが表示されます"Warning: exhausting read requested, but key file is not a regular file, function might never return.。実際、デバイスのロックを解除するのに少し時間がかかりますが、それほど多くはありません。

おすすめ記事