notes/luks.md

LUKS

LUKS является стандартом для шифрования жесткого диска Linux. Расшифровать данные на диске можно только имея доступ к секретному ключу и паролю.

1. Создать зашифрованный раздел

[da2001@co1 ~]$ sudo cryptsetup luks
luksAddKey         luksDelKey         luksFormat         luksHeaderRestore  luksOpen           luksResume         luksUUID           
luksClose          luksDump           luksHeaderBackup   luksKillSlot       luksRemoveKey      luksSuspend        

двойной Tab покажет возможные команды. Для создания нового раздела необходима команда luksFormat

[da2001@co1 ~]$ sudo cryptsetup luksFormat /dev/sdc2
WARNING: Device /dev/sdb2 already contains a 'crypto_LUKS' superblock signature.

WARNING!
========
This will overwrite data on /dev/sdc2 irrevocably.

Are you sure? (Type 'yes' in capital letters): YES
Enter passphrase for /dev/sdb2: 
Verify passphrase:

подтвердить заглавными YES
задать пароль доступа, при этом простой пароль система может не принять, в этом случае будет выведено сообщение

Password quality check failed:
 The password fails the dictionary check - it is based on a dictionary word

2. Открыть раздел и задать ему имя, по которому раздел будет доступен в /dev/mapper

[da2001@co1 ~]$ sudo cryptsetup luksOpen /dev/sdc2 secret

ввести пароль доступа

[da2001@co1 ~]$ ls -l /dev/mapper/ | grep secret
lrwxrwxrwx. 1 root root       7 Sep 10 14:41 secret -> ../dm-3

3. Отформатировать раздел
   форматировать необходимо в разблокированном состоянии

[da2001@co1 ~]$ sudo mkfs.xfs /dev/mapper/secret 
meta-data=/dev/mapper/secret     isize=512    agcount=4, agsize=64448 blks
         =                       sectsz=512   attr=2, projid32bit=1
         =                       crc=1        finobt=1, sparse=1, rmapbt=0
         =                       reflink=1
data     =                       bsize=4096   blocks=257792, imaxpct=25
         =                       sunit=0      swidth=0 blks
naming   =version 2              bsize=4096   ascii-ci=0, ftype=1
log      =internal log           bsize=4096   blocks=1566, version=2
         =                       sectsz=512   sunit=0 blks, lazy-count=1
realtime =none                   extsz=4096   blocks=0, rtextents=0

4. Монтирование зашифрованного раздела

[da2001@co1 ~]$ sudo mkdir /secret
[da2001@co1 ~]$ sudo vi /etc/fstab

добавить строку

/dev/mapper/secret		/secret		xfs		defaults	0 0

добавление записи в fstab недостаточно, т.к. для монтирования устройство должно быть доступно
необходимо добавить конфиг в /etc/crypttab

[da2001@co1 ~]$ sudo vi /etc/crypttab

в файле необходимо указать:

• название устройства, в нашем случае secret
• блочное устройство, на котором размещён зашифрованный раздел - /dev/sdb2
• параметр - нужно ли вводить пароль автоматически, none - не вводить пароль автоматически, требовать ввода от пользователя
  синтаксис конфиг. файла можно узнать в справке man crypttab

secret	/dev/sdc2	none

5. Для вступления изменений в силу, необходимо перезагрузить хост

[da2001@co1 ~]$ sudo reboot