首先,我知道类似的问题已经得到回答。答案是肯定的,但我想要第二个意见,因为:
所以,问题是:从技术上讲,LUKS2 分离接头可以用于多个驱动器吗?我知道从安全角度来看不建议这样做(请参阅前面提到的帖子的答案),但在这里我只对问题的技术方面感兴趣。
让我产生疑问的是维基百科的声明,即 LUKS2 标头在其 JSON 区域中包含描述磁盘上加密区域的段。这意味着 LUKS2 标头绑定到特定驱动器,因此不能重新用于其他驱动器:
紧接着二进制头之后的是 JSON 区域,其中包含对象配置(配置)、键槽、摘要、段(描述磁盘上的加密区域)以及包含额外元数据的令牌。
所以你怎么看 ?同一 LUKS2 分离接头可以用于多个驱动器吗?几个相同的驱动器和几个完全不同的驱动器(例如,HDD 和 USB 记忆棒)之间是否可能存在差异?
如果我使用 cryptsetup 创建加密分区
cryptsetup -q luksFormat /dev/vdb3 /tmp/pwfile
cryptsetup -d /tmp/pwfile luksOpen /dev/vdb3 pv00
并在 /dev/mapper/pv00 上设置嵌套的 gpt 分区表
parted=/sbin/parted
disk=/dev/mapper/pv00
${parted} -s -- "${disk}" mklabel gpt
${parted} -s -- "${disk}" mkpart root 0% "${endp1}GiB"
${parted} -s -- "${disk}" mkpart swap "${endp1}GiB" "${endp2}GiB"
${parted} -s -- "${disk}" mkpart none "${endp2}GiB" "${endp3}GiB"
${parted} -s -- "${disk}" mkpart export "${endp3}GiB" 100%
lsblk然后新分区按预期列出
root@clone:~# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
vda 254:0 0 8G 0 disk
`-vda1 254:1 0 8G 0 part /
vdb 254:16 0 128G 0 disk
|-vdb1 254:17 0 126M 0 part
|-vdb2 254:18 0 897M 0 part
`-vdb3 254:19 0 120.6G 0 part
`-pv00 252:0 0 120.6G 0 crypt
|-pv00p1 252:1 0 8G 0 part
|-pv00p2 252:2 0 8G 0 part
|-pv00p3 252:3 0 8G 0 part
`-pv00p4 252:4 0 90.6G 0 part
但我无法再关闭加密分区:
root@clone:~# cryptsetup luksClose pv00
Device pv00 is still in use.
dmsetup info -C显示未使用嵌套分区,但 /dev/mapper/pv00 是:
# dmsetup info -C
Name Maj Min Stat Open Targ Event UUID
pv00 252 0 L--w 4 1 0 CRYPT-LUKS2-f2a811407807491b875f414fa61f854d-pv00
pv00p1 252 1 L--w 0 1 0 part1-CRYPT-LUKS2-f2a811407807491b875f414fa61f854d-pv00
pv00p2 252 2 L--w 0 1 0 part2-CRYPT-LUKS2-f2a811407807491b875f414fa61f854d-pv00
pv00p3 252 3 L--w 0 1 0 part3-CRYPT-LUKS2-f2a811407807491b875f414fa61f854d-pv00
pv00p4 252 4 L--w 0 1 0 part4-CRYPT-LUKS2-f2a811407807491b875f414fa61f854d-pv00
AFAIU 嵌套分区使 pv00 保持忙碌。
使用lvm2而不是嵌套的gpt分区表就不存在这样的问题。我可以使用 停用卷组vgchange -an vg00,并且 pv00 可以按预期关闭。是否有类似的命令可以停用 /dev/mapper/pv00 上的嵌套 gpt 分区表而不删除它?
在 LUKS 中,只有文件被加密,而不是整个驱动器。
所以我的问题是,如果只加密文件,可以访问什么。例如:
文件路径或文件名是否可见?(例如:对于使用 ZipCrypto 的加密 ZIP 文件,我可以看到完整路径、文件名,这使得攻击成为可能)?
Linux 磁盘是否没有加密机制,例如逐页加密或任何其他机制,以便您无法读取任何内容?
最近更新后(不确定这是否是第一个包含新内核 6.1 的更新),我的 ubuntu linux 笔记本电脑无法再启动
错误是
Volume group “ubuntu-vg” not found
Cannot process volume group ubuntu vg
IO error while decrypting keyslot.
Keyslot open failed.
Device /dev/nvme0n1p3 does not exist or access is denied
Please unlock disk nvme0n1p3_crypt_
但通常的解密代码不起作用
在 initram shell 中,我注意到我的内部 SSD 没有设备 /dev/nvme* 和 /dev/mappe*
我设法用 ubuntu live USB 棒启动笔记本电脑并手动解密并安装我的 SSD 分区,我的数据都在那里
所以我重新启动,然后我让 grub 启动菜单再次出现,我选择了以前的内核 5.17,系统成功启动
现在我想以稳定的方式修复新内核
以下是我笔记本电脑上的一些信息:
OS: Ubuntu 22.04.3 LTS x86_64
Host: XPS 15 9560
Kernel: 5.17.0-1035-oem
我的引导分区内容是
$ ll /boot/ | grep -E "initrd|vmlinuz"
lrwxrwxrwx 1 root root 25 2023-10-05 20:38:05 initrd.img -> initrd.img-6.1.0-1023-oem
-rw-r--r-- 1 root root 112483877 2023-10-16 03:12:30 initrd.img-5.15.0-86-generic
-rw-r--r-- 1 root root 117815613 2023-10-16 03:12:18 initrd.img-5.17.0-1035-oem
-rw-r--r-- 1 root root 130800464 2023-10-16 03:12:06 initrd.img-6.1.0-1023-oem
lrwxrwxrwx 1 root root 28 2023-10-05 20:38:05 initrd.img.old -> initrd.img-5.15.0-86-generic
lrwxrwxrwx 1 root root 22 2023-10-05 20:38:05 vmlinuz -> vmlinuz-6.1.0-1023-oem
-rw------- 1 root root 11624584 2023-09-20 10:09:11 vmlinuz-5.15.0-86-generic
-rw------- 1 root root 11275528 2023-07-12 11:49:08 vmlinuz-5.17.0-1035-oem
-rw------- 1 root root 12521608 2023-09-15 14:50:36 vmlinuz-6.1.0-1023-oem
lrwxrwxrwx 1 root root 25 2023-10-05 20:38:05 vmlinuz.old -> vmlinuz-5.15.0-86-generic
$
nvme 的 lsblk
$ lsblk | tail -n 7
nvme0n1 259:0 0 476,9G 0 disk
├─nvme0n1p1 259:1 0 512M 0 part /boot/efi
├─nvme0n1p2 259:2 0 732M 0 part /boot
└─nvme0n1p3 259:3 0 475,7G 0 part
└─nvme0n1p3_crypt 253:0 0 475,7G 0 crypt
├─ubuntu--vg-root 253:1 0 474,8G 0 lvm /
└─ubuntu--vg-swap_1 253:2 0 980M 0 lvm [SWAP]
$
系统表
$ cat /etc/fstab | grep -E "mount point|^/"
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/mapper/ubuntu--vg-root / ext4 errors=remount-ro 0 1
/dev/mapper/ubuntu--vg-swap_1 none swap sw 0 0
/swapfile swap swap defaults 0 0
$
我在另一台 XPS 笔记本电脑上读过类似问题的帖子 - 即:
$ lspci | grep Unassigned
03:00.0 Unassigned class [ff00]: Realtek Semiconductor Co., Ltd. RTS525A PCI Express Card Reader (rev 01)
$
我应该/可以将司机列入黑名单吗
blacklist rtsx_pci
blacklist rtsx_pci_sdmmc
在 /etc/modprobe.d/blacklist_rtsx.conf 中并重建 initramfs?
我问这个是因为我很担心系统变砖
如果我使用了错误的术语或提出了愚蠢的问题,请道歉。
我想在 EndeavourOS 上重新加密系统和交换分区。问题是,在许多文件(crypttab、mikinicpio、fstab 等)中,LUKS 分区的确切 UUID 是内置的,这意味着如果系统和引导加载程序属于这种情况,我必须在重新加密后手动更改 UUID将分区识别为系统的一部分。
重新加密后UUID会改变吗?如果没有,那么我可以简单地重新加密(当然有备份)并完成它。
按照如何从 YubiKey 添加 FIDO2 密钥的示例,但我不知道如何使用 YubiKey 从命令行解锁它。说明中谈到了启动时解锁——但这不是我想要的。
创建一个 128 MiB 文件,使其成为块设备loop0并设置 LUKS。
$ dd if=/dev/urandom of=disk.bin bs=1M count=128
128+0 records in
128+0 records out
134217728 bytes (134 MB, 128 MiB) copied, 0.534038 s, 251 MB/s
$ losetup /dev/loop0 disk.bin
$ cryptsetup luksFormat -y /dev/loop0
WARNING!
========
This will overwrite data on /dev/loop0 irrevocably.
Are you sure? (Type 'yes' in capital letters): YES
Enter passphrase for temp.bin:
Verify passphrase:
添加 Yubikey。
$ systemd-cryptenroll /dev/loop0 --fido2-device=auto --fido2-with-client-pin=yes
? Please enter current passphrase for disk /dev/loop0: ****
Requested to lock with PIN, but FIDO2 device /dev/hidraw9 does not support it, disabling.
Initializing FIDO2 credential on security token.
? (Hint: This might require confirmation of user presence on security token.)
Generating secret key on FIDO2 security token.
? In order to allow secret key generation, please confirm presence on security token.
New FIDO2 token enrolled as key slot 1.
删除非 FIDO2 密钥。
$ cryptsetup -q -v luksKillSlot /dev/loop0 0
Keyslot 0 is selected for deletion.
Key slot 0 removed.
Command successful.
怎么办?这不起作用:
$ cryptsetup open /dev/loop0 loop0_encrypted
Enter passphrase for disk.bin:
我现在有一个 LUKS 磁盘,但我不知道如何解锁它。/etc/crypttab我发现的所有教程都说要对启动时的安装进行修改并提供安装说明。我想在不重新启动并且(最好)不修改的情况下安装/etc/crypttab。我缺少什么?
我正在调试 cryptsetup 的一个奇怪行为:
假设文件中存储了正确的密码pw。我希望现在--test-passphrase如果它作为标准输入传递,它总是会成功(即不打印输出)。但事实证明它随机失败:
# cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2 < pw
# cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2 < pw
No key available with this passphrase.
# cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2 < pw
# cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2 < pw
No key available with this passphrase.
# cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2 < pw
# cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2 < pw
No key available with this passphrase.
# cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2 < pw
# cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2 < pw
# cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2 < pw
No key available with this passphrase.
我注意到了,因为我在引导时(在 GRUB 中)经常多次未能解锁我的分区。首先,我以为我打错了,但现在我觉得这可能是 cryptsetup 中的错误。即使我正在复制粘贴正确的密码,我也无法在以后始终如一地解锁它(不是在 GRUB 中)。
请注意,当我通过这种(主要是等效的)方式传递它时,它也有所不同:
# cat pw | cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2
No key available with this passphrase.
# cat pw | cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2
No key available with this passphrase.
# cat pw | cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2
# cat pw | cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2
No key available with this passphrase.
# cat pw | cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2
No key available with this passphrase.
# cat pw | cryptsetup luksOpen --test-passphrase /dev/nvme0n1p2
No key available with this passphrase.
在这里,除了一次尝试外,其他所有尝试都失败了。而另一种方法更容易成功。这种行为对我来说是可重现的:它总是更频繁地失败。
# cryptsetup --version
cryptsetup 2.6.1 flags: UDEV BLKID KEYRING KERNEL_CAPI
# cryptsetup luksDump /dev/nvme0n1p2
LUKS header information
Version: 2
Epoch: 5
Metadata area: 16384 [bytes]
Keyslots area: 16744448 [bytes]
UUID: 2372e472-ef96-428f-b971-f68fb0c35b63
Label: (no label)
Subsystem: (no subsystem)
Flags: (no flags)
Data segments:
0: crypt
offset: 16777216 [bytes]
length: (whole device)
cipher: aes-xts-plain64
sector: 512 [bytes]
Keyslots:
0: luks2
Key: 512 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 512 bits
PBKDF: argon2id
Time cost: 13
Memory: 1048576
Threads: 4
Salt: ea b0 88 ...
f3 f9 72 ...
AF stripes: 4000
AF hash: sha256
Area offset:32768 [bytes]
Area length:258048 [bytes]
Digest ID: 0
Tokens:
Digests:
0: pbkdf2
Hash: sha256
Iterations: 334367
Salt: f0 ac 44 ...
f3 6f d5 ...
Digest: cd a8 ...
23 2a ...
$ uname -a
Linux amd12 6.3.2-arch1-1 #1 SMP PREEMPT_DYNAMIC Thu, 11 May 2023 16:40:42 +0000 x86_64 GNU/Linux
(OS: Arch Linux)
最终,我总能解锁,但我需要多次尝试,这很烦人。看起来验证码或读取输入的机制是不稳定的。
我想知道这是否是一个已知问题(尽管我还没有发现任何相关问题)?如果没有,有没有办法调试?不幸的是,我没有看到获得任何视觉反馈的选项(我认为,泄露密码长度被认为是一个安全漏洞)。
更新:刚刚意识到有一个--debug选项。尽管成功和失败运行的输出在计算发生之前是相同的。调试日志中的所有标头和校验和都相同。
此外,它显示了与 Linux Mint Live CD 上的 cryptsetup 2.4.3 相同的行为。
如果我 LUKS 使用 linux 机器 A 加密硬盘驱动器,我可以使用机器 B 读取它上面的数据吗?当然假设我知道磁盘的密码。谢谢。
我设置了两个 luks 加密驱动器以在系统启动时自动挂载(使用crypttabluks 文件密钥)。它工作正常,但不幸的是,如果我断开其中一个驱动器的连接,当我再次将它们连接到我的 PC(运行 Fedora)时,“自动解密”过程不会运行,我必须在卸载后手动进行安装。H我可以使用什么命令来触发与 systemd 在系统启动时触发的相同进程,以便在我没有进一步参与的情况下自动挂载和解密驱动器?或者如果失败了,我怎样才能让 systemd 在这种情况下自动解密并挂载它们?
作为参考,这是我用来设置驱动器的教程:https: //www.golinuxcloud.com/mount-luks-encrypted-disk-partition-linux/
在 LUKS 中使用 cryptsetup 时,手册多次使用术语“key”和“size”,例如:
--keyfile-size (in bytes)
--key-size (in bits)
允许的值为--key-size256 位(默认)或 512 位。
后来,在“默认编译的密钥和密码参数:”子句下,它说:
Maximum keyfile size: 8192kB, Maximum interactive passphrase length 512 (characters)
我对这些键的含义感到困惑。
与 flag 相关的关键点是--key-size什么?
它不应该是与标志--keyfile-size或密码相关的同一个键吗?