我正在编写一个脚本来自动设置测试环境虚拟机。这个脚本应该自动为我格式化一个 dmcrypt+LUKS 分区,并带有特定的密码。因为这是一个本地测试环境,我不关心密码的安全性,我只希望整个 VM 设置过程是自动化的和非交互式的。
如何以非交互方式向“dmcrypt luksFormat”提供密码?我想使用密码短语,而不是密钥,因为在生产中我们也为 LUKS 使用密码短语。
我的系统设置如下:
boot分区)。debian系统安装在那里。为了在启动时从远程解锁 LUKS 设备,我尝试使用 dropbear-initramfs。
效果很好,解锁第一个 LUKS设备(在 SSD 上,安装了 debian 系统):
cryptroot-unlock,插入钥匙,然后解锁但要解锁第二个 LUKS设备(在 RAID0 上),我仍然需要一些控制台。
有没有办法使用 dropbear-initramfs / busybox 一起(或相继)解锁两个 LUKS 设备?蒂亚!
我正在将 cryptsetup 与环回设备一起使用。我正在寻找一种方法,在给定设备映射的情况下,识别该设备使用哪个环回设备。
即通过 /dev/mapper/some_mapping 操作得到 /dev/loop1
如何才能做到这一点?
这是一个我已经困惑了一段时间的加密主题。根据我对 LUKS 的理解,一旦使用密码打开 LUKS 卷并安装了生成的设备映射器设备,就可以读取和写入它,直到它关闭/卸载为止,而实际的磁盘格式数据采用加密形式。
假设在打开和挂载 LUKS 卷时发生了服务器入侵,从而导致 root 帐户的密码被 SSH 泄露并入侵。攻击者现在将拥有对设备的完全读/写访问权限。
将此与基于文件的加密系统(例如 eCryptfs)进行比较。如果发生对 root 帐户的破坏并且我将敏感数据存储在 /home/secure(使用 eCryptfs 加密)中 - 攻击者将无法访问它,因为 /home/secure 目录不仅仅是用密码“解锁”,就像 LUKS 一样。
我在这里完全误解了什么吗?我觉得我已经从关于 LUKS 的大量信息中完成了我的研究,但是我还没有发现任何关于安装 LUKS 卷时闯入的影响的讨论。感谢您提供任何见解或澄清!