luks
luks のディスクを作る LUKSのディスクを作るときに、鍵ファイルや、スペア鍵、パスフレーズを設定するのがめんどうだったの手順をできる限り、簡素化して、スクリプトにまとめた ## デバイスを措定 DEV=/dev/sde ## 鍵ファイルを用意 SPARE=/boot/keys/spar…
luks のディスクを追加しようとしてエラー vgextend mydata /edev/mapper/crypt02 エラーが出た Devices have inconsistent logical block sizes (512 and 4096). エラーはセクタサイズです。 はて?ファイルシステムでフォーマットしてないのにセクタサイズ…
luks ディスクまとめ LUKSについては、過去に調べながらメモをしているので、いざというときに記事がバラけているので、目的のものにたどり着くのが大変なので、LUKSで暗号化ディスクを取り扱うコマンドで、よく使うものをまとめ記事にし直した。 luks ディ…
raspi を lmv on dm-crypt(LUKS) に含める。 LVM で起動することも出来た。。ext4 on dm-crypt で起動することも出来た だったら、 ext4 on LVM on LUKSで起動することも出来るんじゃ。とおもったので。試した。 raspberry pi だからといって、特殊なことは…
LVM で起動することも出来た。 ext4 on dm-crypt で起動するようにする。 raspberry pi だからといって、特殊なことは何もない。通常通りのUSBメモリへOSインストール手順と、ほとんど同じ。 USBメモリを突っ込んでおく。 USBメモリは以前にGPT実験でつかっ…
raspberry pi をLUKSにする。 デバイスを暗号化すると、盗難対策だとかコピープロテクションとかを考慮しつつ、センシティブ情報を格納出来る。 暗号化は現代には不可欠な技術だが、RaspberryPiにはTPMチップが無いので、X86のPCのような手軽に扱える用にな…
LUKSのキーがただし正しいかチェックしたい。 LUKSのキー、これだったかかな?と候補があるときに使えます。 また。複数の鍵を登録後に登録チェック、鍵の削除後のチェックなどが必要だと思います。 そのときに、鍵の存在チェックだけをコマンドでおこない自…
crypttab に記載するUUIDを得る crypttabを手作業で記入するとき、UUIDが必要。そのUUIDはblkid コマンドでは得られない。同様に、/dev/disk/by-uuid の by-uuidのls でも得られない。 cryptsetup コマンドでUUIDを得る cryptsetup のluksDumpコマンドを使え…
clevis が ubuntu で対応してた。 clevis ツールでdrucat を使わなくても initramfs で、起動時にLUKSのアンロックができるようになってたらしい。 これは便利ですね。 参考資料にしたブログがよく書いてくれてるので、とても簡単だった。 準備 /boot のバッ…
最後の一個を消すとどうなるんだろう。 cryptsetup luksRemoveKey /dev/sdg luksRemoveKey でHDDを安全に消去するに等しいですね。luksの暗号化ストレージは、鍵がないとアクセスできません。鍵を消せば全てアクセス不能になり、アクセス不能とは消したに等…
boot パーティションの暗号化 luks2 で ルートパーティションの暗号化ができる。 LUKSを使っても /boot が暗号化できずに残ってしまう。これを解決したい。 ただし、これをやってしまうと、grubでluks1を使うためにリモートアンロックはできない。そして問題…
fstrim / discard できない luks + lvm で構成された root ファイルシステムは、fstrim ができない $ sudo fstrim -v / Operation not permitted. 対策。 discardオプションを使って dmsetup する。 設定 /etc/crypttab ubuntu_dm_crypt-0 UUID=4aa.... none…
dm-crypt したシステムルートをリモートSSHから解除 luks の鍵をtpmに入れたいけど、TPMデバイスがないPCの場合、鍵をUSBで差し込むか、SSHでリモートからアンロックをするといい 仕組み luks のルートパーティションがinitramfs に読み出されるときに、dorp…
tpmデバイスをLinuxでも使いたい。 TPM搭載されてるんだ。だからWindowsのbitlocker的な暗号化デバイスのパスワード入力レスの起動をやりたかった。 ずっとやりたかった。でもあまりに手間が多かったので見送っていた。 気づいたら、専用のツールが公開され…