luks ディスクまとめ LUKSについては、過去に調べながらメモをしているので、いざというときに記事がバラけているので、目的のものにたどり着くのが大変なので、LUKSで暗号化ディスクを取り扱うコマンドで、よく使うものをまとめ記事にし直した。 luks ディ…

raspi を lmv on dm-crypt(LUKS) に含める。 LVM で起動することも出来た。。ext4 on dm-crypt で起動することも出来た だったら、 ext4 on LVM on LUKSで起動することも出来るんじゃ。とおもったので。試した。 raspberry pi だからといって、特殊なことは…

LVM で起動することも出来た。 ext4 on dm-crypt で起動するようにする。 raspberry pi だからといって、特殊なことは何もない。通常通りのUSBメモリへOSインストール手順と、ほとんど同じ。 USBメモリを突っ込んでおく。 USBメモリは以前にGPT実験でつかっ…

raspberry pi をLUKSにする。 デバイスを暗号化すると、盗難対策だとかコピープロテクションとかを考慮しつつ、センシティブ情報を格納出来る。 暗号化は現代には不可欠な技術だが、RaspberryPiにはTPMチップが無いので、X86のPCのような手軽に扱える用にな…

LUKSのキーがただし正しいかチェックしたい。 LUKSのキー、これだったかかな?と候補があるときに使えます。 また。複数の鍵を登録後に登録チェック、鍵の削除後のチェックなどが必要だと思います。 そのときに、鍵の存在チェックだけをコマンドでおこない自…

crypttab に記載するUUIDを得る crypttabを手作業で記入するとき、UUIDが必要。そのUUIDはblkid コマンドでは得られない。同様に、/dev/disk/by-uuid の by-uuidのls でも得られない。 cryptsetup コマンドでUUIDを得る cryptsetup のluksDumpコマンドを使え…

clevis が ubuntu で対応してた。 clevis ツールでdrucat を使わなくても initramfs で、起動時にLUKSのアンロックができるようになってたらしい。 これは便利ですね。 参考資料にしたブログがよく書いてくれてるので、とても簡単だった。 準備 /boot のバッ…

最後の一個を消すとどうなるんだろう。 cryptsetup luksRemoveKey /dev/sdg luksRemoveKey でHDDを安全に消去するに等しいですね。luksの暗号化ストレージは、鍵がないとアクセスできません。鍵を消せば全てアクセス不能になり、アクセス不能とは消したに等…

boot パーティションの暗号化 luks2 で ルートパーティションの暗号化ができる。 LUKSを使っても /boot が暗号化できずに残ってしまう。これを解決したい。 ただし、これをやってしまうと、grubでluks1を使うためにリモートアンロックはできない。そして問題…

fstrim / discard できない luks + lvm で構成された root ファイルシステムは、fstrim ができない $ sudo fstrim -v / Operation not permitted. 対策。 discardオプションを使って dmsetup する。 設定 /etc/crypttab ubuntu_dm_crypt-0 UUID=4aa.... none…

dm-crypt したシステムルートをリモートSSHから解除 luks の鍵をtpmに入れたいけど、TPMデバイスがないPCの場合、鍵をUSBで差し込むか、SSHでリモートからアンロックをするといい 仕組み luks のルートパーティションがinitramfs に読み出されるときに、dorp…

tpmデバイスをLinuxでも使いたい。 TPM搭載されてるんだ。だからWindowsのbitlocker的な暗号化デバイスのパスワード入力レスの起動をやりたかった。 ずっとやりたかった。でもあまりに手間が多かったので見送っていた。 気づいたら、専用のツールが公開され…