Portál AbcLinuxu, 28. října 2025 01:11
Řešení dotazu:
sifrovany.bin, na kterém je ext4:
/tmp $ truncate -s 64M sifrovany.bin
/tmp $ cryptsetup luksFormat sifrovany.bin
WARNING!
========
Toto nevratně přepíše data na sifrovany.bin.
Are you sure? (Type uppercase yes): YES
Zadejte heslo:
Ověřte heslo:
/tmp $ sudo cryptsetup open --type luks sifrovany.bin sifrovany # „sifrovany“ název dešifrovaného zařízení
Zadejte heslo pro sifrovany.bin:
/tmp $ sudo mkfs.ext4 /dev/mapper/sifrovany
mke2fs 1.44.5 (15-Dec-2018)
Vytváří se systém souborů s 63488 (1k) bloky a 15872 uzly
UUID systému souborů=d0517ca7-7839-4918-9a13-a70b97fe54a8
Zálohy superbloku uloženy v blocích:
8193, 24577, 40961, 57345
Alokují se tabulky skupin: hotovo
Zapisuji tabulky iuzlů: hotovo
Vytváří se žurnál (4096 bloků): hotovo
Zapisuji superbloky a účtovací informace systému souborů: hotovo
/tmp $ sudo cryptsetup close sifrovany
Práce s oddílem (připojení do sifrovany.mnt, zapsání textu 42 do souboru
ANSWER.TXT v něm a odpojení):
/tmp $ sudo cryptsetup open --type luks sifrovany.bin sifrovany /tmp $ mkdir sifrovany.mnt /tmp $ sudo mount /dev/mapper/sifrovany sifrovany.mnt /tmp $ sudo sh -c "echo 42 > sifrovany.mnt/ANSWER.TXT" /tmp $ sudo umount sifrovany.mnt /tmp $ sudo cryptsetup close sifrovany
sifrovany.bin je soubor, který obsahuje zašifrovaný souborový systém. Pomocí truncate jsem ho vytvořil (velikost 64 MiB). Může to být třeba i klasický disk (/dev/sda4).
sifrovany.mnt je adresář, kam jsem připojil sifrovany.bin
sifrovany, resp. /dev/mapper/sifrovany je zařízení, které obsahuje souborový systém po provedení cryptsetup open.
chmod, chown, popř. ACL), aby se Vám někdo v připojeném šifrovaném souborovém systému nehrabal.
cryptsetup(8).
sudo cryptsetup open --type luks sifrovany.bin sifrovanylze pouzit kratsi:
sudo cryptsetup luksOpen sifrovany.bin sifrovany
5.5.2019 21:18
luksOpen pro zpětnou kompatibilitu. Určitě to bude fungovat ještě hodně dlouho, ale nikdy nikdo neví…
Warning: A security review (February 2014) of encfs discovered a number of security issues in the stable release 1.7.4 (June 2014). Please consider the report and the references in it for updated information before using the release.
│ Informace o zabezpečení Encfs │ │ │ │ Vzhledem k bezpečnostnímu auditu Taylora Hornby (Defuse Security), je │ │ současná implementace Encfs zranitelná, nebo potencionálně zranitelná │ │ vůči vícero typům útoků. Útočník s přístupem pro čtení/zápis do │ │ zašifrovaných dat může například snížit složitost dešifrování následně │ │ zašifrovaných dat, aniž by to oprávněný uživatel zaznamenal, nebo může k │ │ odvození informací využít časovou analýzu. │ │ │ │ Dokud nebudou tyto problémy vyřešeny, nelze v situacích, kdy jsou tyto │ │ útoky možné, encfs považovat za bezpečné úložiště dat │screenshot zde
z podobneho duvodu bych nenasadil ten cryfs, ale pouzil roky proverenej zminovanej LUKS na file...
6.5.2019 11:31
Jendа | skóre: 78
| blog: Jenda
| JO70FB
ale potřebuji tam dočasně nakopírovat soubory i jako někdo než root. Přihlášení jako root mám vypnuto a přes případné WINSCP se musím přihlásit jako obyčejný uživatel.
6.5.2019 11:34
Jendа | skóre: 78
| blog: Jenda
| JO70FB
cryfs basedir mountdirPokud tohle udělám jako přihlášený root, adresář mountdir se vždy nastaví na 700 a změnit to neumím...
cryfs basedir mountdir -o allow_other
cryfs basedir mountdir -o allow_other
CryFS Version 0.9.6
unrecognised option '-o'
Usage: cryfs [options] baseDir mountPoint [-- [FUSE Mount Options]]
Allowed options:
-h [ --help ] show help message
-c [ --config ] arg Configuration file
-f [ --foreground ] Run CryFS in foreground.
--cipher arg Cipher to use for encryption. See possible values by
calling cryfs with --show-ciphers.
--blocksize arg The block size used when storing ciphertext blocks (in
bytes).
--show-ciphers Show list of supported ciphers.
--unmount-idle arg Automatically unmount after specified number of idle
minutes.
--logfile arg Specify the file to write log messages to. If this is
not specified, log messages will go to stdout, or
syslog if CryFS is running in the background.
Environment variables:
CRYFS_FRONTEND=noninteractive
Work better together with tools.
With this option set, CryFS won't ask anything, but use default values
for options you didn't specify on command line. Furthermore, it won't
ask you to enter a new password a second time (password confirmation).
CRYFS_NO_UPDATE_CHECK=true
By default, CryFS connects to the internet to check for known
security vulnerabilities and new versions. This option disables this.
cryfs basedir mountdir -- -o allow_other
ls -ld /ten/adresarodebrani vsech prav ostatnim i skupine:
chmod go-rwx /ten/adresar
6.5.2019 16:35
Petr Fiedler | skóre: 35
| blog: Poradna
Používal jsem jej roky k naprosté spokojenosti. A před ním TrueCrypt.
echo "deb https://download.opensuse.org/repositories/home:/stevenpusser:/veracrypt/Debian_9.0 ./" | sudo tee /etc/apt/sources.list.d/veracrypt.list wget https://download.opensuse.org/repositories/home:/stevenpusser:/veracrypt/Debian_9.0/Release.key -O - | sudo apt-key add - sudo apt update sudo apt install apt-transport-https sudo apt install veracryptbtw: overil sem pridani, nainstalovani a pusteni veracrypt, nezkousel sem vytvaret kontejner...
# vytvoreni souboru o velikosti 64M truncate -s 64M sifrovany.bin # vytvoreni sifrovaneho LUKS na souboru cryptsetup luksFormat sifrovany.bin # odemceni LUKS souboru, odemceny se zobrazi jako zarizeni v /dev/mapper/odemceny sudo cryptsetup luksOpen sifrovany.bin odemceny # zformatovani odemceneho na ext4fs sudo mkfs.ext4 /dev/mapper/odemceny # zamceni sudo cryptsetup luksClose odemcenyNasledne kdyz budes chtit pouzit:
# odemceni+pripojeni sudo cryptsetup luksOpen sifrovany.bin odemceny sudo mount /dev/mapper/odemceny /mnt # odpojeni+zamceni sudo umount /mnt sudo cryptsetup luksClose odemceny
# stazeni balicku wget https://github.com/jas-per/luckyLUKS/releases/download/v1.2.0/python-luckyluks_1.2.0-1_all.deb # instalace balicku sudo dpkg -i python-luckyluks_1.2.0-1_all.deb # dointalovani zavislosti sudo apt install --fix-brokennasledne pustit ze "start" menu: luckyluks, v nem vytvoris kontejner kterej ti to zformatuje samo, nasledne pri odemceni nabidne vytvoreni zastupce, kdyz ho vytvoris do "start"menu se prida ikona: "Unlock tebouzvolenejmeno" pri pusteni jen zadas unlock a heslo...
klikaci postup:
ale tem mi prisel vhodnejsi prave pro tu jednoduchost/"jedno"ucelovost...
root@localhost:~# dd if=/dev/random of=test bs=1M count=1 0+1 records in 0+1 records out 17 bytes copied, 0.000294334 s, 57.8 kB/s root@localhost:~# cryptsetup luksFormat test WARNING! ======== This will overwrite data on test irrevocably. Are you sure? (Type uppercase yes): YES Enter passphrase: Verify passphrase: IO error while decrypting keyslot.
1. /dev/random je na takove potreby nevhodny/brutalne_pomalej, kdyz tam pouzit /dev/zero (pro zaplneni nulama), nebo /dev/urandom, pro zaplneni nahodnejma...predpokladam ze si chtel zaplnit soubor nahodnejma datama, aby si pripadne "utocnikovi"/"odciziteli_souboru" stizil zjisteni kde jsou a nejdou data... pridam spravnej postup kterej bys pouzil PO 1 kroku (truncate) z postupu zde
2. snazis se vytvarit velikost 1M (slovy jeden megabajt) coz je malo
3. soubor co si vytvoril ma 17b (slovy sedmnact bajtu) to je nemozne malo/nic
# vytvoreni docasneho LUKS pouze pro potreby zaplneni bordelem sudo cryptsetup open --type plain --key-file /dev/random sifrovanej.bin bordel # zaplneni bordelem (bere se size z /dev/zero ale uklada se sifrovane, takze v zamcenem to NEbudou nuly) sudo dd bs=1M if=/dev/zero of=/dev/mapper/bordel status=progress # zavreni docasneho LUKS sudo cryptsetup luksClose bordel # zlikvidovani docasne LUKS hlavicky sudo dd if=/dev/urandom of=sifrovanej.bin bs=1M count=10 status=progressa pokracovat v puvodnim postupu...
17.5.2019 01:53
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Tohle ten soubor nahradí, nepřepíše to začátek...# zlikvidovani docasne LUKS hlavicky sudo dd if=/dev/urandom of=sifrovanej.bin bs=1M count=10 status=progress
tak ten krok klidne vynechat, nebo si nejsem jistej zda tohle udelat to same?
# likvidace LUKS sudo cryptsetup luksErase sifrovany.bin(btw: koukam ze micham v postupu sifrovany.bin a sifrovanej.bin)
17.5.2019 01:49
Jendа | skóre: 78
| blog: Jenda
| JO70FB
bs nápověda jak velký buffer má předat syscallu read/write, a read rozhodně může naplnit jak velkou část se kernelu zrovna hodí -- v tvém případě 17 bajtů. Jde to řešit pomocí iflag fullblock, ale rozumnější je používat prostě head -c xxx)
postup tady zaplni bordelem nasobne rychlejs, random je pouzito jen jako (docasnej)"klic"
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.