cryptsetup

Linux.fista
Siirry navigaatioon Siirry hakuun


cryptsetup
Käyttöliittymä teksti
Lisenssi GPLv2+, LGPLv2+
Kotisivu gitlab.com/cryptsetup/cryptsetup

cryptsetup on työkalu salattujen levyosioiden luomiseen ja hallintaan Linuxissa. Sen avulla voidaan tehdä paljaita dm-crypt-osioita tai LUKS:lla kuorrutettuja osioita.

Nykyisin LUKS/dm-crypt on kuitenkin de facto standardin asemassa Linux-maailmassa sen helppouden, sekä sen tarjoamien lisäominaisuuksien takia. Myös useimmat jakelut tarjoavat järjestelmän salauksen LUKS/dm-crypt -menetelmällä jakelun asennusvaiheessa.

Asennus[muokkaa]

cryptsetup on oletuksena asennettuna useimmissa jakeluissa, mutta mikäli sitä ei ole, voidaan se asentaa manuaalisesti. cryptsetup löytyy useimpien jakeluiden paketinhallinnasta nimellä cryptsetup. Lisätietoja ohjelmien asentamisesta löytyy artikkelista Ohjelmien asentaminen.

LUKS/dm-crypt[muokkaa]

Tämä esimerkki käsittelee kiintolevyn salaamista LUKS/dm-crypt -menetelmällä. Salattaessa laitetta on ensin luotava LUKS-otsakkeet laitteelle (-v antaa ihmisen luettavan tulosteen):

# cryptsetup -v luksFormat /dev/sdX

Komento kysyy salauksessa käytettävän salasanan ja luo LUKS-otsakkeet oletusasetuksilla laitteelle. Tarvittaessa asetuksia voidaan kuitenkin muuttaa. Esimerkiksi tiivistefunktiota voidaan muuttaa -h -valitsimella ja avaimen kokoa -s -valitsimella.

# cryptsetup -v -s 512 -h sha512 luksFormat /dev/sdX

Luotuja LUKS-otsakkeita voidaan tutkia komennolla:

# cryptsetup luksDump /dev/sdX

Kun otsakkeet on luotu, voidaan luotu osio avata. Osio liitetään /dev/mapper/ hakemiston alle halutulla nimellä. Olkoon nimi tässä esimerkissä salattu:

# cryptsetup open --type luks /dev/sdX salattu

Osiolle ei ole vielä luotu tiedostojärjestelmää, jonka takia sinne ei voida vielä tallentaa tiedostoja. Tiedostojärjestelmäksi voidaan valita oma suosikki, käytetään tässä esimerkissä XFS-tiedostojärjestelmää:

# mkfs.xfs /dev/mapper/salattu

Lopuksi salattu osio voidaan sulkea komennolla:

# cryptsetup close salattu

LUKS-otsakkeet kannattaa varmuuskopioida, sillä salattua osiota ei voida avata mikäli ne korruptoituvat. Tehdään varmuuskopio luks-varmuuskopio.img-tiedostoon:

# cryptsetup luksHeaderBackup /dev/sdX --header-backup-file luks-varmuuskopio.img

Luonnollisesti varmuuskopio kannattaa tallentaa jollekin ulkoiselle medialle, esimerkiksi CD-levylle.

Tarvittaessa otsakkeet voidaan palauttaa komennolla:

# cryptsetup luksHeaderRestore /dev/sdX --header-backup-file luks-varmuuskopio.img