cryptsetup-Unix、Linuxコマンド

link：/unix_commands/index [previous] link：/unix_commands/index [next] [[1]] php [AddThis Social Bookmark Button]

NAME

概要

*cryptsetup <オプション> <アクション> <アクション引数>*

説明

cryptsetupは、dm-crypt管理デバイスとマッパーのマッピングを簡単にセットアップするために使用されます。基本的なdm-cryptマッピングには、5つの操作があります。

行動

*<action> <action args>*

create <name> <device>

Tag

説明

デバイス<デバイス>によってサポートされる<名前>のマッピングを作成します。 <options>には、[-hash、-cipher、-verify-passphrase、-key-file、-key-size、-offset、-skip、-readonly]を指定できます

remove <名前>

既存のマッピング<name>を削除します。オプションなし。

status <name>

マッピング<name>のステータスを報告します。オプションなし。

reload <name>

アクティブなマッピング<name>を変更します。 createと同じオプション。

resize <name>

アクティブなマッピング<name>のサイズを変更します。 <options>には—sizeを含める必要があります

LUKSの延長

LUKS（Linux Unified Key Setup）は、ハードディスク暗号化の標準です。パーティションヘッダーとバルクデータの形式を標準化します。 LUKSは複数のパスワードを管理できます。これらのパスワードは効果的に無効にでき、PBKDF2を使用した辞書攻撃から保護されています。

これらは有効なLUKSアクションです。

luksFormat <デバイス> [<キーファイル>]

Tag

説明

LUKSパーティションを初期化し、プロンプトまたは<key file>を介して初期キーを設定します。 <options>は[--cipher、--verify-passphrase、--key-size]になります

luksOpen <デバイス> <名前>

LUKSパーティション<device>を開き、指定されたキーマテリアルの検証が成功した後、マッピング<name>をセットアップします（--key-fileによるキーファイル経由、またはプロンプト経由）。 <options>は[--key-file、--readonly]にできます。

luksClose <name>

_remove_と同じです。

luksAddKey <デバイス> [<新しいキーファイル>]

新しいキーファイル/パスフレーズを追加します。既存のパスフレーズまたはキーファイル（--key-file経由）を指定する必要があります。新しいマテリアルのキーファイルは、_luksAddKey_の後に位置引数として指定されます。 <options>には[--key-file]を指定できます。

luksDelKey <キースロット番号>

キースロットからキーを削除します。オプションなし。

luksUUID <デバイス>

<device>にLUKSヘッダーがある場合、UUIDを出力します。オプションなし。

isLuks <デバイス>

<device>がLUKSパーティションの場合、trueを返します。そうでなければ、false。オプションなし。

luksDump <デバイス>

LUKSパーティションのヘッダー情報をダンプします。オプションなし。

LUKSの詳細については、* http：//luks.endorphin.org*を参照してください

オプション

Tag

説明

-ハッシュ、-h *

パスワードハッシュに使用するハッシュを指定します。このオプションは、「作成」アクションにのみ関連します。ハッシュ文字列はlibgcryptに渡されるため、gcryptで受け入れられるすべてのハッシュがサポートされます。

-暗号、-c *

暗号仕様文字列を設定します。通常、これは「aes-cbc-plain」です。 2.6.10より前のカーネルでは、新しい暗号仕様文字列を理解しないため、「aes-plain」を使用します。 ESSIVを使用するには、「aes-cbc-essiv：sha256」を使用します。

-verify-passphrase、-y *

パスワードを2回照会します。（通常の）マッピングを初めて作成するとき、または_luksFormat_を実行するときに便利です。

-キーファイル、-d *

キー素材としてファイルを使用します。 LUKSでは、-dを介してキーファイルで提供されるキーマテリアルが、既存のパスフレーズに常に使用されます。キーファイルを介して新しいキーを設定する場合は、_luksFormat_または_luksAddKey_に位置引数を使用する必要があります。

-キーサイズ、-s *

ビット単位で鍵サイズを設定します。通常、これは128、192、または256です。 _create_または_luksFormat_に使用できます。他のすべてのLUKSアクションは、パーティションヘッダーでキーサイズが指定されているため、このフラグを無視します。

-サイズ、-b *

下位のデバイスのサイズをセクター単位で強制します。

-オフセット、-o *

バックエンドデバイスの開始オフセット。

-skip、-p *

最初にスキップする暗号化データのセクター数。これは、IV計算に関して—offsetオプションとは異なります。 --offsetを使用すると、IV計算が同じ負の量だけシフトします。したがって、-offset _n_の場合、セクター_n_はIV _0_のマッピングの最初のセクターになります。 --skipを使用すると、セクター_n_も最初のセクターになりますが、IV _n_が使用されます。

-読み取り専用

読み取り専用マッピングを設定します。

-iter-time、-i *

PBKDF2パスワード処理に費やすマイクロ秒数。このオプションは、_luksFormat_または_luksAddKey_としてのLUKSキー設定操作にのみ関連します。

-batch-mode、-q *

確認を求めないでください。このオプションは、_luksFormat_にのみ関係します。

-タイムアウト、-t *

タイムアウトするまで待機する秒数。このオプションは、create _、 luksOpen 、 luksFormat_、または_luksAddKey_など、パスワードが要求されるたびに関連します。

-align-payload = value

value 512バイトセクターの境界でペイロードを位置合わせします。このオプションは、_luksFormat_に関連しています。ブロックデバイスがRAID上にある場合、RAIDのジオメトリを活用できるように、ファイルシステムをストライプ境界全体に揃えることが便利です。たとえば、mkfs.xfsのマニュアルページのsunitおよびswidthオプションを参照してください。デフォルトでは、ペイロードは8セクター（4096バイト）境界に整列されます。

- バージョン*

バージョンを表示します。

定期的なマッピングのためのパスワード処理に関する注意

ファイル記述子または端末から

キーファイルから：-sで指定されたサイズにトリミングされます。鍵ファイルに十分な鍵素材がない場合、cryptsetupはエラーで終了します。

LUKSのパスワード処理に関する注意事項

LUKSは常に徹底的なパスワード読み取りを行います。したがって、パスワードは、/dev/random、/dev/zero、または終了しないその他のストリームから読み取ることはできません。

LUKSは、パスワードがそれぞれのキースロットに設定されると、処理オプションを保存します。したがって、luksOpenにはオプションを指定できません。パスワード作成アクション（luksAddKey、またはluksFormat）の場合、ユーザーは、パスワード処理に費やす時間を指定します。時間を長くすると、より安全なパスワードが得られますが、luksOpenの完了に時間がかかります。セキュリティを良好にするには、デフォルト設定の1秒で十分です。

パスワードに関する注意

作者

christophe @ saout.declemens @ endorphin.org

バグの報告

dm-crypt@saout.de

著作権

これはフリーソフトウェアです。コピー条件についてはソースを参照してください。保証はありません。商品性や特定の目的への適合性についてもそうではありません。

Unix-commands-cryptsetup