Bàsics LUKS (encriptació de discs amb linux)

En tots els exemples, agafem sda1 com a partició. Cal revisar-ho per tal que s’adapti al sistema on estem treballant.

Veure informació de l’encriptació de la partició:

cryptsetup luksDump /dev/sda1

Afegir una clau a l’Slot 1 amb un temps d’iteració de 30ms (l’Slot ha d’estar lliure):

cryptsetup luksAddKey /dev/sda1 -S 1 -i 30

Canviar la clau de l’Slot 1 amb un temps d’iteració de 30ms:

cryptsetup luksChangeKey /dev/sda1 -S 1 -i 30

Canviar la clau de l’Slot 1 amb un fitxer binari, enlloc de posar la contrasenya:

cryptsetup luksChangeKey /dev/sda1 --key-slot 1 /try/crypto_file.bin

Esborrar una clau (hem de saber la clau i no podem especificar l’Slot):

cryptsetup luksRemoveKey /dev/sda1

Si no sabem la clau de l’Slot que volem canviar, hem de destruïr l’Slot, en aquest cas l’1. Després la podrem afegir:

cryptsetupLuksKillSlot /dev/sda1 1
cryptsetup luksAddKey /dev/sda1 -S 1 -i 30

Identificar a quin Slot pertany una clau (en fitxer) que tenim (exemple de provar a l’slot 6):

cryptsetup luksOpen --key-file crypto_file.bin --test-passphrase --key-slot 6 /dev/sda1

Tot i que l’anterior es pot saber obrint amb el mode verbose (-v) i sense tantes opcions:

cryptsetup luksOpen -v --key-file crypto_file.bin /dev/sda1 proves

Si volem provar una contrasenya enlloc de fitxer, eliminar l’opció –key-file crypto_file.bin

Desencriptar i muntar una partició encriptada:

cryptsetup luksOpen /dev/sda1 proves
mkdir /proves
mount /dev/mapper/proves /proves

Exemple de com recuperar un sistema al qual s’ha esborrat un clau de fitxer per error i no fa boot (es queda a Busybox):

cryptsetup luksOpen /dev/sda1 proves
mkdir /proves
mount /dev/mapper/proves /proves
cp /proves/crypto_keyfile.bin ./
umount /proves
cryptsetup luksClose proves
cryptsetup luksAddKey -S 1 /dev/sda1 crypto_keyfile.bin
reboot -f

Fitxers que ens poden interessar:

/etc/grub/grub.cfg
/etc/cryptsetup-initramfs/conf-hook
/etc/crypttab

altres lectures interessants:
initramfs
chroot
altres

2023-02-09T09:36:50+01:0008 02 2023|encriptació, linux, luks|