dm-crypt with Linux Unified Key Setup (LUKS) 를 이용한 Disk Encryption

 1. cryptsetup 의 단점
    - Without LUKS
        - password를 변경하기 위해서는 전제 disk를 re-encrypt해야 한다
        - 단지 하나의 key 만 할당할 수 있다.
        - mount를 하기 전까지 password가 틀린지 확인할 수 없다.

2. Encrypt Disk 생성 및 포멧
    - $ qemu-img create -f raw dm.img 3G 
    - $ sudo losetup /dev/loop0 dm.img
    - $ sudo cryptsetup luksFormat /dev/loop0 
    WARNING!
    ========
    This will overwrite data on /dev/loop0 irrevocably.

    Are you sure? (Type uppercase yes): YES
    Enter LUKS passphrase: testpwd
    Verify passphrase: testpwd

    - $ sudo cryptsetup luksOpen /dev/loop0 encrypt-fs
    Enter passphrase for /dev/loop0: testpwd
    - $ ls -al /dev/mapper/
    encrypt-fs -> ../dm-0
    - $ sudo mkfs.ext4 /dev/mapper/encrypt-fs

3. Encrypt Disk 제거
    - $ sudo cryptsetup luksClose encrypt-fs
    - $ sudo losetup -d /dev/loop0

4. Encrypt Disk Mount
    - $ sudo losetup /dev/loop0 dm.img
    - $ sudo cryptsetup luksOpen /dev/loop0 encrypt-fs 
    Enter passphrase : testpwd
    - $ mkdir mount
    - $ sudo mount /dev/mapper/encrypt-fs ./mount
    - $ ls a
    lost+found     
    
4. Key 추가
    - add  a  new  key file/passphrase. An existing passphrase or key file must be supplied.
    - $ sudo cryptsetup luksDump /dev/loop0 
    LUKS header information for /dev/loop0

    Version:           1
    Cipher name:       aes
    Cipher mode:       cbc-essiv:sha256
    Hash spec:         sha1
    Payload offset:    4096
    MK bits:           256
    MK digest:         b9 37 06 0a 01 e0 c3 79 1f d7 16 c9 e3 59 0a 6a a0 0d 82 45 
    MK salt:           f3 4c 70 e3 6f d4 02 55 2a b6 38 c5 ad 17 2d f9 
                       9f 4b d1 61 50 39 cd 3b 28 f2 38 6b 7d c9 4a 83 
    MK iterations:     63000
    UUID:              aeecbbb0-ce45-4ecc-b032-b7b0e0736988

    Key Slot 0: ENABLED
        Iterations:             252121
        Salt:                   ef c6 3c c6 15 0e 51 ba 97 9c 9b f5 ef a2 e3 3a 
                              1a 2b 0d ee 70 bc 64 2b b3 ba f1 48 48 9b b2 b5 
        Key material offset:    8
        AF stripes:                4000
    Key Slot 1: DISABLED
    Key Slot 2: DISABLED
    Key Slot 3: DISABLED
    Key Slot 4: DISABLED
    Key Slot 5: DISABLED
    Key Slot 6: DISABLED
    Key Slot 7: DISABLED
    - $  sudo cryptsetup luksAddKey /dev/loop0 
    Enter any passphrase: 
    Enter new passphrase for key slot: 
    Verify passphrase: 
    - $  sudo cryptsetup luksDump /dev/loop0 
    LUKS header information for /dev/loop0

    Version:           1
    Cipher name:       aes
    Cipher mode:       cbc-essiv:sha256
    Hash spec:         sha1
    Payload offset:    4096
    MK bits:           256
    MK digest:         b9 37 06 0a 01 e0 c3 79 1f d7 16 c9 e3 59 0a 6a a0 0d 82 45 
    MK salt:           f3 4c 70 e3 6f d4 02 55 2a b6 38 c5 ad 17 2d f9 
                       9f 4b d1 61 50 39 cd 3b 28 f2 38 6b 7d c9 4a 83 
    MK iterations:     63000
    UUID:              aeecbbb0-ce45-4ecc-b032-b7b0e0736988

    Key Slot 0: ENABLED
        Iterations:             252121
        Salt:                   ef c6 3c c6 15 0e 51 ba 97 9c 9b f5 ef a2 e3 3a 
                                  1a 2b 0d ee 70 bc 64 2b b3 ba f1 48 48 9b b2 b5 
        Key material offset:    8
        AF stripes:                4000
    Key Slot 1: ENABLED
        Iterations:             253053
        Salt:                   60 e8 07 5f 87 d5 e4 08 3c 1b e8 7a 48 e1 42 40 
                                  ba 8a e4 ba db 99 2f c4 0b 61 16 1b c0 ab c2 99 
        Key material offset:    264
        AF stripes:                4000
    Key Slot 2: DISABLED
    Key Slot 3: DISABLED
    Key Slot 4: DISABLED
    Key Slot 5: DISABLED
    Key Slot 6: DISABLED
    Key Slot 7: DISABLED
    
5. key 변경
    - change existing key file or passphras
    - $  sudo cryptsetup luksChangeKey  /dev/loop0 
    Enter LUKS passphrase to be changed: 
    Enter new LUKS passphrase: 
    Verify passphrase:

6. Encrypt Disk Unmount 및 제거
    - $ sudo umount ./mount
    - $ sudo cryptsetup luksClose encrypt-fs
    - $ sudo losetup -d /dev/loop0

댓글

댓글 쓰기

이 블로그의 인기 게시물

SSH 연결 Delay 해결

증상 서버에 ssh 연결 시 지연 현상 발생 $ ssh -v [x.x.x.x]로 어디에서 지연이 발생하는지 검토 $ ssh -v [X.X.X.X] .... debug1: Next authentication method: gssapi-with-mic debug1: Unspecified GSS failure.   Minor code may provide more information No Kerberos credentials available debug1: Unspecified GSS failure.   Minor code may provide more information No Kerberos credentials available debug1: Unspecified GSS failure.   Minor code may provide more information ... 원인 GSSAPIAuthentication 관련 이슈 해결책 Sshd 서버의 /etc/ssh/sshd.config 에서 GSSAPIAuthentication 옵션을 no로 설정 후 sshd 서비스 재시작
자세한 내용 보기

[ELK] search guard를 이용한 보안 설정 (사용자 권한)

Search Guard 개요 ELK의 X-pack 대신 사용 권한 기능을 제공하는 Free 오픈소스 SSL/TLS 적용 필수 (Kibana 로그인만 보안 적용 불가능) 설치 Search Guard Download 사이트에서 ELK 각 모듈별 버전에 맞는 플러그인 다운로드 후 설치 예시: ELK 6.2.4 버전인 경우 search-guard-6-6.2.4-22.3.zip search-guard-kibana-plugin-6.2.4-13.zip Elasticsearch Plugin 설치 Elasticsearch Plugin 설치 $ ./bin/elasticsearch-plugin install -b file:///data/ELK/packages/6.2.4/search-guard-6-6.2.4-22.3.zip Elasticsearch Plugin 설정 $ cd ./plugins/search-guard-6/tools $ bash ./install_demo_configuration.sh Elasticsearch 실행 $ ./bin/elasticsearch 아래와 같이 에러 발생 시 조치  max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536] max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144] 조치 사항 Max Open file 을 위한 설정 /etc/systemd/system.conf 파일의 DefaultLimitNOFILE=65536 으로 설정 리부팅 필요 VM 을 위한 설정 $ sudo sysctl -w vm.max_map_count=262144 Elasticsearch의 plugins/search-guard-/sgconfig의 설정 반영 ...
자세한 내용 보기

공공데이터(openapi) 사용법 (특정 정류소, 버스의 남은 좌석 확인 하기)

회사가 출퇴근 자율제에 주 40시간 근무 규정이 생긴지 몇달이 되어간다. 출근할 때 버스의 남은 좌석을 안다면 편한 나의 출근 시간을 정할 수 있을텐데.. 우선 남은 버스 좌석 데이터를 모으면 어떻게(통계, Regression, 딥러닝 등) 해서라도 위 궁금증을 해결할 수 있으리라 생각한다. 그래서 아래와 같이 데이터 취합을 시도했다 1. 공공데이터 사이트에 가입하기  - https://www.data.go.kr/   - 파일데이터/OpenAPI/표준데이터 제공 2. 로그인 => 데이터셋 => Open API 선택 => 기관별 선택  => "버스도착정보 조회" 검색 후  개발 계정 신청 (IE 9 이상에서만 신청 가능)  - 정류소와 노선번호를 기준으로 첫번째, 두번째 도착 예정 버스의 위치정보와 도착 예정시간, 빈자리 지상버스 정보를 REST SOAP 방식의 API로 제공  - 일반/서버 유형 선택 가능  - 일일 트래픽 1000 제한 (?) (why? 개발 계정이기 때문에)    - 운영(서비스)계정 활용 신청 시 필요한 트래픽을 요청할 수 있음 3. 마이페이지 => OpenAPI => 개발계정 => 인증키 신청 후 => 인증키 발급 현황에서 확인 가능  - 나의 인증키 : OSE.....%3D 4. 경기버스정보에서 Rest API를 통해서 데이터 수집 가능 - 버스도착정보항목조회 - https://www.gbis.go.kr/gbis2014/publicService.action?cmd=tBusArrivalItem - 노선 ID와 정류소 ID는 어떻게 아는 거지?   - 기반정보조회 테스트에서 다운로드 링크 확인 후 txt 파일 다운로드해서 확인 가능     - routeId=204000057     - station...
자세한 내용 보기