जैसा कि शीर्षक में कहा गया है, मुझे यह जानना होगा कि क्या कोई कुंजी जोड़ने की कोई विधि है जो उपयोगकर्ता को पासवर्ड को फिर से लिखने / पहले से ही खुले हुए वॉल्यूम के लिए कीफाइल प्रदान करने की आवश्यकता नहीं है। मैं वास्तव में इसे लागू करने की आवश्यकता होगी ताकि एक उदाहरण की सराहना की जाएगी।
जवाबों:
नहीं, पवित्र नहीं - लेकिन एक विरोधी हो सकता है।
cryptsetupउपकरण एन्क्रिप्टेड मात्रा पर ही चल रही है, चाहे वह वर्तमान में खुले या नहीं है। इसे वॉल्यूम कुंजी को वॉल्यूम से बाहर निकालने की आवश्यकता है; उसके लिए, उसे मौजूदा keylots (पासफ़्रेज़ या कीफ़ाइल) में से एक को डीकोड करने की ज़रूरत है, या फिर आपको इसे नंगे वॉल्यूम कुंजी (जो आप लगभग झूठ नहीं बोलेंगे) पास करने की आवश्यकता है।
यदि वॉल्यूम माउंट है, तो कर्नेल की मेमोरी में वॉल्यूम कुंजी है। लेकिन आश्चर्यजनक रूप से, यह इसे पुनः प्राप्त करने के लिए एक इंटरफ़ेस प्रदान नहीं करता है।
आप एक कर्नेल मॉड्यूल लिख सकते हैं और लोड कर सकते हैं जो वॉल्यूम कुंजी को पुनः प्राप्त करता है (मुझे लगता है कि आपको हुप्स के माध्यम से कूदना होगा, लेकिन एक सुरक्षा दृष्टिकोण से जो तुच्छ है), जब तक कि मॉड्यूल लोडिंग अक्षम या प्रमाणित नहीं होती है। आप एक मेमोरी डंप के माध्यम से कुंजी को पुनः प्राप्त कर सकते हैं /dev/kmem, जब तक कि वह अक्षम न हो (मुझे उम्मीद है कि इसके लिए ऑफ-द-शेल्फ फॉरेंसिक उपकरण हैं, हालांकि मैं कोई भी नाम नहीं दे सकता)। मुझे लगता है कि यह बात है।
हां मुझे यह पंसद है:
cryptsetup luksAddKey <DEVICE> --master-key-file <(dmsetup table --showkey /dev/mapper/<MAP> | awk '{print$5}' | xxd -r -p)
स्थानापन्न <DEVICE>ब्लॉक (जैसे LUKS विभाजन युक्त डिवाइस के साथ /dev/sda1) और <MAP>मानचित्रण (जैसे के नाम के साथ sda1_crypt)।
dmsetup table --showkeyइसका उपयोग करता है।