~ To be, or not to be, or to forget all. ~ null-i.net |
Linux/dm-crypt | |
dm-crypt (2015-12-21) dm-crypt は「device-mapper crypto」のことで、指定したパーティションを暗号化したりします。 暗号化モードが色々あるらしいけれど*1、具体的にどうコマンド指定するのかよく分からなかったので現時点では省略。 とりあえず、ヘルプを打ってみます。 $ cryptsetup --help cryptsetup 1.2.0 (中略) Default compiled-in device cipher parameters: plain: aes-cbc-essiv:sha256, Key: 256 bits, Password hashing: ripemd160 LUKS1: aes-cbc-essiv:sha256, Key: 256 bits, LUKS header hashing: sha1, RNG: /dev/urandom 最後に表示されたのが暗号化に使われるデフォルト値で、 cryptsetup luksFormat <device> のように暗号化パーティションを作るときに 暗号化パーティションを開いたり閉じたりするコマンドは以下。 cryptsetup luksOpen <device> <name> cryptsetup luksClose <name> 開いている場合は、/dev/mapper/<name> のように指定した名前でマッピングされた状態になるはずです。 開くときにluksFormat時に指定したパスワードが必要。 パスワードの管理を行うコマンドは cryptsetup luksAddKey <device> [<new key file>] cryptsetup luksRemoveKey <device> [<key file>] cryptsetup luksKillSlot <device> <key slot number> パスワードはファイル指定や対話式で複数登録できるようで(key slotに入る)、AddやKillするときにはいずれの key slot のパスワードを知っていなければならない。 さっきからしれっと使っている「luks」というのは、Linux Unified Key Setup のことで、Linuxの暗号化ファイルシステムの標準規格らしい。 ・・・あと、学習用環境にはcryptmount コマンドが見当たらないので、 cryptmount --mount <target> cryptmount --unmount <target> cryptmount --list cryptmount --swapon <target> cryptmount --swapoff <target> cryptmount --generate-key <target> cryptmount --change-password <target> 上記の各オプションは頭文字だけで実行可(-uとか。--swapoff は -x)。 |
|