![LUKS 마스터 키를 확인하는 방법은 무엇입니까? [복사]](https://linux55.com/image/174507/LUKS%20%EB%A7%88%EC%8A%A4%ED%84%B0%20%ED%82%A4%EB%A5%BC%20%ED%99%95%EC%9D%B8%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F%20%5B%EB%B3%B5%EC%82%AC%5D.png)
SSH + 루트 액세스 권한이 있는 컴퓨터에 암호화된 파티션에 대한 마스터 키가 있습니다. 이 파티션과 관련된 비밀번호에 액세스할 수 없습니다. 마스터 키가 이 파티션에 유효한지 확인할 수 있는 방법이 있습니까?
머신의 루트 파티션이기 때문에 파티션을 마운트 해제할 수 없어서 luksOpen 등을 사용할 수 없을 것 같습니다.
답변1
@HaukeLaging이 말했듯 dmsetup table --showkeys이 아직 열려 있는 LUKS 컨테이너의 마스터 키를 표시하는 것이 가능할 수도 있습니다(LUKS2 컨테이너에서는 작동하지 않을 수 있습니다., 당신은 또한 볼 수 있습니다6.10 매핑된 LUKS1 컨테이너에서 마스터 키를 복원하는 방법은 무엇입니까?).
장치의 처음 128M을 복사하여 집에서 실험할 수 있습니다.
ssh root@server head -c 128M /dev/sdxy > sdxy.img
가능한 실험:
hexedit master.key # hexedit or xxd -r -p to produce binary file
hexdump -C master.key # to verify correctness
cryptsetup luksAddKey --master-key-file master.key sdxy.img
cryptsetup luksOpen sdxy.img luksxy
file -sL /dev/mapper/luksxy
알려진 파일 시스템이나 LVM 헤더 대신 임의의 데이터를 얻는다면 잘못된 키이거나 LUKS 헤더에 다른 문제가 있는 것입니다.
동일한 실험을 서버에서 직접 실행할 수도 있지만, 다른 디바이스가 등장하거나 UUID가 중복되는 등의 부작용이 있을 수 있으므로 별도의 머신이나 가상머신 내에서 하는 것이 가장 좋습니다.
LUKS 헤더가 손상되어 luksAddKey가 작동하지 않는 경우 luksFormat을 새로 만들 수도 있습니다. 하지만 이 경우에는 마스터 키 외에 올바른 비밀번호와 데이터 오프셋도 지정해야 합니다.
그러나 이 LUKS 컨테이너에 문제가 있는 경우 머신이 계속 실행되는 동안 모든 파일을 백업해야 합니다. 마스터 키를 어디에나 저장하는 것도 LUKS 보안 개념을 우회하므로 새 마스터 키를 사용하여 처음부터 새 LUKS 컨테이너를 만드는 것이 좋습니다.