[RISOLTO] caricare keyfile per LUKS da penna usb al boot

Firewall, Server, Monitoring e tutto quello che riguarda la sicurezza della nostra Linux Box

[RISOLTO] caricare keyfile per LUKS da penna usb al boot

Messaggioda Infrid » 26/06/2017, 10:56

ciao a tutti,

in azienda abbiamo delle nuove norme da rispettare tra cui quella di tenere i dischi che contengono dati sensibili crittografati! O0

Ho fatto una re-installazione di debian sul mio portatile con un LUKS+LVM usando una password per sbloccare i volumi.

Dovrei ripetere la stessa procedura su altre due macchine fisse, ma non posso ogni volta inserire una password per sbloccare i dischi durante il boot. Ho visto che LUKS è in grado di caricare dei keyfile per sbloccare i volumi e si potrebbe in teoria caricare tali file da un supporto usb.

Questo è quello che ho capito dalla teoria, ma in pratica ho le idee un po' confuse, è passato un po' di tempo da quando giocavo con gli script di init V.

Il primo passo è creare un keyfile ed aggiungere questo file a LUKS, ma non ho ben capito dopo come fa il sistema a montare una penna usb e cercare il keyfile. Ho visto un po' di articoli in rete ma alcuni includono script bash manualmente in initramfs, altri smanettano un po' con dracut ed altri ancora suggeriscono di inserire una sola riga nella configurazione di grub.

A me piacerebbe ovviamente una configurazione semplice e che sopravviva automaticamente ad ogni upgrade del kernel, dove i colleghi possano tranquillamente riavviare la macchina (o staccare la spina all'improvviso) senza dovermi chiamare per inserire la password (o doverla spiattellare ai 4 venti).

Qualcuno ha già avuto a che fare con un setup del genere?

grazie
Ultima modifica di Infrid il 11/07/2017, 16:41, modificato 1 volta in totale.
Avatar utente
Infrid
Jr. Member
Jr. Member
 
Messaggi: 59
Iscritto il: 27/04/2011, 20:30

Re: caricare keyfile per LUKS da penna usb al boot del siste

Messaggioda byte64 » 26/06/2017, 11:40

Tempo fa avevo fatto così:
creato un mapper in /etc/crypttab
nomecrypt /dev/disk/by-uuid/uuiddellamemoriausb /keyfile luks

quindi inserito in /etc/fstab:
/dev/mapper/nomecrypt /media/nomemount ext3 defaults 0 2


nessuno script o altro....
.....spero sia chiaro
ciao
byte64
Sr. Member
Sr. Member
 
Messaggi: 367
Iscritto il: 07/01/2017, 19:02
Località: Bergamo

Re: caricare keyfile per LUKS da penna usb al boot del siste

Messaggioda Infrid » 26/06/2017, 11:41

si chiaro grazie, ma se per disgrazie la penna USB cade o si rompe, LUKS automaticamente passa a chiedere la password, giusto?
Avatar utente
Infrid
Jr. Member
Jr. Member
 
Messaggi: 59
Iscritto il: 27/04/2011, 20:30

Re: caricare keyfile per LUKS da penna usb al boot del siste

Messaggioda byte64 » 26/06/2017, 12:00

Non ricordo, ma mi pare che quando la penna non era colleagata al boot veniva richiesta la passwird comunque, dovrei riprovare, è un po' che non utilizzo filesystem cryptati, se trovo tempo faccio qualche test nel caso...
Sicuramente di quelle penne USB ne farai almeno 2 copie vero? O almeno copierai i keyfiles in un qualche luogo sicuro...
Anche se a quel punto occhio agli UUID delle penne...
byte64
Sr. Member
Sr. Member
 
Messaggi: 367
Iscritto il: 07/01/2017, 19:02
Località: Bergamo

Re: caricare keyfile per LUKS da penna usb al boot del siste

Messaggioda Infrid » 26/06/2017, 12:02

ovviamente, faccio 3 copie di cui una su carta :)
Avatar utente
Infrid
Jr. Member
Jr. Member
 
Messaggi: 59
Iscritto il: 27/04/2011, 20:30

Re: caricare keyfile per LUKS da penna usb al boot del siste

Messaggioda Infrid » 11/07/2017, 16:40

alla fine sono riuscito nell'intento, ho formattato una pendrive ext4 e messo dentro il mio keyfile e modificato /etc/crypttab come segue

Codice: Seleziona tutto
sda5_crypt UUID=xxxxxxxxx-112b-46e9-a715-6761b34d66b4 /dev/disk/by-uuid/yyyyyyyyyyyyyyyy:/keyfile luks,keyscript=/lib/cryptsetup/scripts/passdev


al boot il sistema cerca la mia penna usb con quell'uuid e sblocca la macchina, se non è presente si ferma, per fare in modo che chieda la password è necessario un piccolo script che faccia tutti i controlli...

Ho provato ad usare fat32 come fs della pendrive ma mi dava problemi al boot di questo tipo, appena ho più tempo indago

Immagine

Codice: Seleziona tutto
FAT-fs (sdb): codepage cp437 not found Failed to mount /dev/disk/by-uuid/FAB2-7ACD
Avatar utente
Infrid
Jr. Member
Jr. Member
 
Messaggi: 59
Iscritto il: 27/04/2011, 20:30


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

cron