dm-crypt/LUKS, loop file system e directory

Ho una directory nella mia home che vorrei proteggere tramite dm-crypt/LUKS, cifrandola e decifrandola a piacere.
Per far questo ho bisogno, tra le altre cose, di questi 2 pacchetti che vado ad installare.

Vado ad installare anche bindfs, di cui scarico la versione per fedora in quanto non la trovo nei repository di centos.

(bindfs mi serve per sistemare i permessi del file system cifrato, ma non ha nessuna connessione con dm-crypt/LUKS).

Creo sotto /root la directory crypt_config in cui lavorerò.

Creo il punto di montaggio all'interno di questa directory.

Creo il file (3GiB) che conterrà il file system da montare (meglio se lo si crea "casuale").

Guardo quale loopdevice è libero. Di default non ce ne sono in quanto i loop device vengono creati su richiesta del kernel quando ce n'è bisogno (tipo quando si monta -loop).

(queste le opzini di losetup che mi serviranno).

Prima di formattare vado a preparare il device scrivendo gli header LUKS e cifrando la master-key con le opzioni desiderate.

Guardo cosa ho fatto.

Eseguo un backup dell'header luks (da conservare da qualche parte), utile in caso si rovini il container.

Associo al file contenitore (quello da 3GiB con gli header LUKS, non il backup), il loop device loop0.

Sblocco il contenitore appena cifrato fornendo la passphrase e dando un nome al quale poi mi riferirò per montare il file system (crypt_device).

Questo device me lo troverò in /dev/mapper.

Creo il file system (XFS) nel contenitore LUKS "sbloccato" (che punta al loop device loop0 che punta al file /root/crypt_config_crypt_Config_file).

Effettuo il montaggio e guardo cosa ho montato.

Ci metto il contenuto della directory che voglio cifrare coi giusti permessi.

Col mio utente sposto la vecchia directory

e ne creo una nuova

Effettuo il bind-mount di /root/crypt_config/mount/ nella directory appena creata /home/utente/Config coi permessi "utente"

Questo è tutto. Nel futuro mi servirà montare e smontare il file system cifrato, usando questi comandi:

SMONTARE

MONTARE

In questo modo peraltro, quando scrivo all'interno di Config con l'utente root,
i permessi vengono automaticamente modificati in "utente" nella directory/home/utente/Config (nel file sytem "vero" montato in /root/crypt_config/mount invece rimangono tali, quindi fai attenzione)

AGGIUNGERE UNA PASSPHRASE

Per aggiungere una passphrase in un nuovo slot per sbloccare la master key basterà digitare:

Qui vediamo le 2 passphrase abilitate:

 


 

Creo uno scritp (stile systemV) per fare mount e umount, altrimenti non mi ricorderei mai di farlo: In questo modo quando faccio logoff dal pc posso smontare la cartella e essere certo che non possa venir letta senza la passphrase (che decifra il file system).


Questo l'ottimo wiki con un bel po' di spiegazioni aggiuntive
https://wiki.archlinux.org/index.php/Dm-crypt/Device_encryption

FAQ di cryptsetup (favolosa)
https://gitlab.com/cryptsetup/cryptsetup/wikis/FrequentlyAskedQuestions

Print Friendly, PDF & Email