내 PC에 Fedora 14와 Ubuntu 10.04 LTS가 설치되어 있습니다. 두 설치 모두에서 aes256과 함께 dm_crypt/LVM을 사용했습니다(각각 암호화된 2개의 볼륨 그룹이므로 이 시스템에는 2개의 별도의 암호화된 Linux 배포판이 있습니다). 암호화된 VG의 비밀번호를 변경하는 방법은 무엇입니까?
답변1
가 없으면 어떻게 해야 할지 모르겠습니다 cryptsetup. 방법을 찾으면 수정하겠습니다. 하지만 다른 방법으로 도와드릴 수는 있을 것 같아요.
암호화가 사물의 전체적인 계획에 어떻게 부합하는지 명확하게 이해해야 한다고 생각합니다.
dm_crypt블록 장치처럼 보이는 모든 것은 사용자 공간 유틸리티를 통해 처리될 수 있습니다 cryptsetup. 이는 전체 하드 드라이브(예: /dev/sda), 해당 하드 드라이브의 단일 파티션(예: /dev/sda1) 또는 VG(볼륨 그룹, 즉 /dev/volume_group)일 수 있습니다.
VG는 이전에 pvcreate하나 이상의 실제 디스크 파티션(예: VG /dev/sda1)에서 사용되어 PV(물리적 볼륨)가 되었습니다. 그런 다음 모든 PV를 사용하여 VG에 연결한 vgcreate다음 VG를 나타내는 새 장치를 만듭니다 /dev. VG를 생성한 후에는 mkfs.ext4 /dev/volume_groupand then mount /dev/volume_grouptowhere 등의 명령을 실행하여 포맷해야 합니다 . 루트로 실행되는 간단한 명령을 보면 mount시스템이 현재 어디에 있는지 알 수 있습니다.
암호화된 볼륨은 블록 장치(실제 디스크 또는 VG)를 전달하여 생성되어야 합니다 cryptsetup luksFormat. 이 시점에서 비밀번호를 입력하거나 키 파일을 지정할 수 있습니다. 그런 다음 이를 사용하려면 해당 블록 장치를 열어야 합니다. cryptsetup luksOpen그러면 이전에 할당한 비밀번호를 묻는 메시지가 표시되거나 키 파일을 지정할 수 있습니다. 즉 /dev/mapper, /dev/mapper/encrypted. 암호화된 블록 장치를 실제로 사용할 수 있도록 mkfs.ext4, , , 와 같은 fsck도구를 제공 하려는 것입니다 .mount
중요: 이 작업을 수행하기 전에 또는 명령을 cryptsetup luksFormat사용하여 디스크의 여유 공간을 임의의 데이터로 덮어써야 합니다 . 이렇게 하지 않는 경우, 미리 수행하지 않으면 상대방은 디스크에 쓴 위치와 쓰지 않은 위치를 알 수 있습니다.ddbadblocksluksFormat
단일 하드 드라이브에서 암호화와 결합된 볼륨 그룹을 사용하는 목적은 일반적으로 디스크 파티셔닝과 동일한 목적을 달성하는 것이지만 암호화된 볼륨 내부에 있기 때문에 잠금을 해제하지 않으면 "파티션" 구성표를 발견할 수 없습니다. 따라서 전체 디스크를 가져와서 암호화된 볼륨을 생성한 다음, , 및 를 pvcreate사용 하여 논리 볼륨을 생성한 다음 파티션처럼 마운트할 수 있습니다. (이것은 설명합니다:vgcreatelvcreatehttp://linuxgazette.net/140/kapil.html)
실제로 볼륨을 마운트 해제하려면 umount /dev/mapper/encrypted파일 시스템을 분리한 다음 cryptsetup luksClose encrypted가상 블록 장치를 분리해야 합니다.
cryptsetup키를 추가( luksAddKey)하고 제거( luksDelKey)할 수 있습니다. 볼륨당 최대 8개의 키를 가질 수 있다고 생각합니다. 새 키를 추가한 다음 이전 키를 삭제하여 키를 변경합니다.
모든 옵션에 대한 구체적인 구문 cryptsetup은 다음과 같습니다.http://linux.die.net/man/8/cryptsetup