[linux-l] cryptofs mit dm_crypt: usb als secret token
Steffen Schulz
pepe_ml at gmx.net
Do Jan 18 01:15:54 CET 2007
On 070117 at 15:40, Mario Steger wrote:
> Gibt es die Moeglichkeit bzw. Funktion auf einem via Debian-Installer
> installiertem Debian 'Etch' mit dm_crypt auf LV, das Keywords auf einem
> USB-Stick zu hinterlegen, welches beim booten verarbeitet wird?
/etc/default/cryptdisks:
CRYPTDISKS_MOUNT="/mnt/usbstick"
/etc/crypttab:
data /dev/hdxyz /mnt/usbstick/keyfile luks
/etc/fstab:
/dev/mapper/data /mnt/crypto xfs defaults 0 0
/dev/sda1 /mnt/usbstick auto defaults 0 0
Die crypto-partition initialisieren mit:
mount /mnt/usbstick
cat /var/log/* |sha1sum - > /mnt/usbstick/keyfile
cryptsetup luksFormat /dev/hdxyz /mnt/usbstick/keyfile
cryptsetup luksOpen --key-file /mnt/usbstick/keyfile /dev/hdxyz data
mkfs.xfs /dev/mapper/data
Beim Reboot sollte /etc/init.d/cryptdisk die Partition mit Hilfe des
USB-Sticks oeffnen, der Eintrag in der fstab mountet dann das Geraet.
Der USB-Stick muss beim Booten erkannt werden.
Wer auf der Kiste root wird, kann mir 'dmsetup table' die Parameter
auslesen um die Platte spaeter ggf wieder zu mounten.
Du machst LVM seh ich grad, also ist es nicht /dev/hdxyz sondern
/dev/mapper/sowieso. Denke daran, dass der USB-Stick kaputt gehen oder
geklaut werden kann. Mit LUKS kann man auch sehr einfach weitere keys
konfigurieren um dann noch eine Zugriffsmoeglichkeit zu haben. Die
Option -i bei cryptsetup kann einen Bruteforce auf einen key schwerer
machen, indem ein einzelner Versuch laenger dauert, weil mehr berechnet
werden muss.
mfg
pepe
--
Bildet Olsenbanden!
Mehr Informationen über die Mailingliste linux-l