openSUSEn salattu osio [Ratkaistu]

[SuperOscar]

Pakollisissa ajoittaisissa distrokokeiluissani kokeilin taas uudelleen openSUSE 11.1:tä ja ensi kertaa tulin kryptanneeksi sillä yhden osion asennuksen aikana. Homma tuntui aika kätevältä jos unohdetaan se, että ainakin oletusarvoisesti osion salasanaa kysytään buutin aikana.

Tietääkö kukaan, millä (jos millään) tuon kryptatun osion nyt saisi *ubuntussa käyttöön? Ilmeisesti TrueCryptistä ei ole kyse, johon useimmat Ubuntu-foorumin hakuosumat viittaavat, koska levyn pystyi alustamaan XFS:ksi. (Viimeksi kun TrueCryptiä kokeilin, siinä tökki nimenomaan se, että salattu osio oli pakosti FAT32.)

Mikään hengen ja elämän asia kyseessä ei ole – osiolla on vain pari kokeeksi sinne luotua tiedostoa

Muoks: Nähtävästi olisin asennuksen aikana voinut myös valita, ettei osiota automountata. openSUSEn referenssistä en löydä mainintaa siitä, mikä salaussysteemi on kyseessä.

[mgronber]

Arvaisin että käytössä on LUKS. Se on dmcryptiin tehty laajennus joka mahdollistaa useiden avaimien käytön yhdellä osiolla ja sisältää monia parannuksia puhtaaseen dmcryptiin nähden.

Liikkeelle voisi varmaan lähteä komentamalla:

Koodia: [Valitse]

$ man cryptsetup

Nopeasti voi tietysti tarkistaa onko osio LUKS:lla salattu:

Koodia: [Valitse]

# cryptsetup luksDump /dev/sda99


[SuperOscar]

Joo, LUKS kuulostaa jotenkin tutulta. Guuglaamalla löytyi tällainen blogiohje Ubuntua varten kolmen vuoden takaa, toimisikohan vielä...

[SuperOscar]

Okei, tuohan oli helppoa. Askelet lyhyesti:

• asennetaan cryptsetup (”sudo aptitude install cryptsetup”)
• lisätään salattu levy /etc/crypttabiin
• lisätään asianmukainen rivi /etc/fstabiin
• käynnistetään palvelu (”sudo /etc/init.d/cryptdisks start”); tässä kysytään levylle annettu salasana
• liitetään levy tiedostojärjestelmään mount-käskyllä

Salattu levy oli minulla /dev/sdb1, joten /etc/crypttabiin tuli rivi:

Koodia: [Valitse]

private         /dev/sdb1               none            luks
missä ”private” on vapaavalintainen nimi; tämä nimi tulee sitten fstabiin seuraavasti:

Koodia: [Valitse]

/dev/mapper/private     /private        xfs     defaults          0       0
/private on nyt vapaavalintainen liitospiste. MInulla asema oli XFS:ksi alustettu.

Nyt täytyisi vielä keksiä, miten estää käynnistyksenaikainen salasanakysely, koska minun tarpeisiini on turha liittää salattua asemaa joka käynnistyksen yhteydessä.

Jos joku haluaa tietää, miten lähdetään liikkeelle alusta saakka, kun salattua levyä ei vielä ole, ei muuta kuin lukemaan tuota John Leachin blogia.

Muoks: Korjattu kirjoitusvirhe.

[mgronber]

Nyt täytyisi vielä keksiä, miten estää käynnistyksenaikainen salasanakysely, koska minun tarpeisiini on turha liittää salattua asemaa joka käynnistyksen yhteydessä.

Jätät määrittelyn pois /etc/crypttab:sta ja lisäät /etc/fstab:iin optiot noauto ja user. Hmm, ja noatime on tietysti hyvä lisä kryptatuilla osioilla.

Tuon jälkeen mounttaaminen onnistuu esimerkiksi seuraavasti jos oletetaan että kryptattu osio on /dev/sda99 ja /etc/fstab:ssa on määritelty /dev/mapper/sda99:n liitoskohdaksi /mnt/sda99.

Koodia: [Valitse]

$ sudo cryptsetup luksOpen /dev/sda99 sda99
$ mount /mnt/sda99

Tietysti olisi fiksumpaa jos pelkkä noauto /etc/fstab:ssa riittäisi ja mountin yhteydessä kysyttäisiin automaattisesti salasana jos kyseessä on /etc/cryptsetup:ssa määritelty laite.