Шифрование раздела не Linux с помощью LUKS
У меня есть не Linux-раздел, который я хочу зашифровать с помощью LUKS. Цель состоит в том, чтобы иметь возможность хранить его отдельно на устройстве без Linux и получать к нему доступ с устройства при необходимости с помощью Live CD с Ubuntu.
Я знаю, что LUKS не может зашифровать разделы на месте, поэтому я создал еще один неформатированный раздел с тем же размером (используя опцию GParted «Round to MiB») и выполнил эту команду:
sudo cryptsetup luksFormat /dev/xxx
Где xxx - имя устройства раздела. Затем я набрал свой новый пароль и подтвердил его. Как ни странно, команда вышла сразу после этого, так что я полагаю, что она не зашифровывает весь раздел сразу? Во всяком случае, тогда я запустил эту команду:
sudo cryptsetup luksOpen /dev/xxx xxx
Затем я попытался скопировать содержимое существующего раздела (назовите его yyy) в зашифрованный, например:
sudo dd if=/dev/yyy of=/dev/mapper/xxx bs=1MB
и побежал некоторое время, но вышел с этим:
dd: writing `/dev/mapper/xxx': No space left on device
как раз перед записью последнего МБ. Я полагаю, это означает, что содержимое yyy было усечено при копировании в xxx, потому что я уже делал dd'd, и всякий раз, когда я помещал dd в раздел точно такого же размера, я никогда не получаю эту ошибку. (и fdisk сообщает, что они имеют одинаковый размер в блоках).
После небольшого поиска в Google я обнаружил, что все разделы luksFormat'а имеют собственный заголовок, за которым следует зашифрованное содержимое. Так что, похоже, мне нужно создать раздел точно такого же размера, сколько бы байтов не было в заголовке LUKS.
Какого размера должен быть целевой раздел, нет. 1 и нет. 2, я даже на правильном пути?
Обновление
Я нашел это в FAQ LUKS:
- Я думаю, что это слишком сложно , Есть ли альтернатива?
Да, вы можете использовать обычный dm-crypt. Он не допускает многократных парольных фраз, но с положительной стороны, он имеет ноль в описании диска , и если вы перезаписываете некоторую часть простого раздела dm-crypt, точно перезаписанные части теряются (округляются до сектора границы).
Так, может быть, мне вообще не стоит использовать LUKS?
2 ответа
Понял. DM-Crypt сделал свое дело. Используйте это вместо LUKS, если вам нужен только один ключ и раздел должен быть определенного размера.
Очень поздний ответ на старую проблему, но она все еще существует ... может быть, полезна для других.
У меня была похожая идея: у меня есть запасной жесткий диск, и я хотел создать зашифрованный раздел на этом жестком диске, чтобы просто выполнять резервное копирование на основе rsync из моего корневого SSD на зашифрованный диск.
Я читал о шифровании файловых систем в вики (и некоторых других вики-страницах).
Первый ответ: используйте gnome-disk-utiliy. Проблема с этим: происходит сбой при выборе создания зашифрованного раздела. Затем я повернулся здесь; и нашел 4-летний ответ о "dm-crypt" не полезным с 16.04; поскольку вокруг нет даже пакета для dm-crypt.
Итак, я начал изучать cryptsetup; и короткая история: нужно набрать ДА, чтобы все продолжалось. И тогда он просто работает быстро и красиво:
Пример:
sudo cryptsetup --verbose luksFormat /dev/sdb1
sudo cryptsetup --verbose open /dev/sdb1 enc-backup
sudo mkfs.ext4 -L backup /dev/mapper/enc-backup
Первый вызов cryptsetup просит набрать «yes» с заглавной буквы ... и как только вы действительно наберете YES а не да или да ... он сделает свою работу.