Difference between revisions of "Crypt Filesystems"
From Blue-IT.org Wiki
(→luks, dm-crypt, lvm2 and TRIM) |
|||
Line 2: | Line 2: | ||
head -c 30 /dev/urandom | uuencode -m - | head -c 30 /dev/urandom | uuencode -m - | ||
''-c 30'' means, that the resulting password will be 30 characters long. | ''-c 30'' means, that the resulting password will be 30 characters long. | ||
+ | |||
+ | == luks and lvm2 == | ||
+ | |||
+ | See the article [[LVM]], which describes using lvm2 and cryptsetup together. | ||
== luks, dm-crypt, lvm2 and TRIM == | == luks, dm-crypt, lvm2 and TRIM == | ||
− | + | See also the article [[LVM]], which describes using lvm2 and cryptsetup together. | |
== Android, KeePassDroid und Dropbox bzw. BoxCryptor == | == Android, KeePassDroid und Dropbox bzw. BoxCryptor == |
Revision as of 09:14, 12 April 2014
Contents
Generate secure passwords
head -c 30 /dev/urandom | uuencode -m -
-c 30 means, that the resulting password will be 30 characters long.
luks and lvm2
See the article LVM, which describes using lvm2 and cryptsetup together.
luks, dm-crypt, lvm2 and TRIM
See also the article LVM, which describes using lvm2 and cryptsetup together.
Android, KeePassDroid und Dropbox bzw. BoxCryptor
http://d24m.de/2012/02/21/cryptonite-encfs-unter-android-nutzen/#comment-4336
Es gibt einen sehr einfachen Weg, um KeePassX via DropBox / Cryptonite bzw. BoxCryptor zu verwenden ohne die Datei manuell herunterladen zu müssen:
- Cryptonite bzw. BoxCryptor öffnen und verschlüsselten Dropbox-Ordner mounten (das – für kommerzielle Zwecke nicht freie Tool - BoxCryptor ist dabei etwas komfortabler, finde ich)
- Jetzt kommt der Trick: Auf die Keepass Datenbank-Datei klicken (BoxCryptor) bzw. in Cryptonite länger darauf halten und im Auswahldialog “Open” und KeePassDroid als Programm verwenden.
Somit muss man die Datei nicht mehr lokal herunterladen. Leider ist die Datei dann im Klartext im Cache-Verzeichnis vorhanden und wird wohl auch nach Beendigung nicht gelöscht!!!
D.h. man muss manuell nach Beendigung von BoxCryptor den (BoxCryptor) Cache leeren, oder DropBox und BoxCrypter “unlinken”. Dies geschieht im Preferences-Menü. Dasselbe gilt für CrypTonite.
Zusätzlich würde ich immer eine Schlüsseldatei verwenden, die man entweder lokal – oder wenn man ganz paranoid ist – lokal in einem verschlüsselten Verzeichnis speichern ;)
Also: Unlinken von DropBox nicht vergessen!!!
Cryptkeeper in Gnome
A more comfortable way of using encrypted filesystems is a tool for gnome: cryptkeeper
sudo apt-get install cryptkeeper
installs everything that is needed. Using is pretty forward.
Editing the file
vim /etc/gdm/PostSession/Default
and adding the line
for dir in "$(cat /etc/mtab | grep encfs | awk '{print $2}' | sed -e 's/\040/ /g')" do echo "${dir}" | awk '{system("umount " $0)}' done
assures that all encfs filesystems are umounted after logout.
Comment: The script seems to be a little bit complicated but fact is, that there are big problems concerning filenames and foldernames with white spaces in bash and utf-8 support in awk!!! So if you find a easier way to achieve this: write me an email ;)
Cryptoloop AES
Prepare a file according or partition according to Encrypted DVD and Laufwerke verschlüsselen mit Loop-AES for encryption with Loop-AES.
Prerequisites
- Load module cryptoloop:
modprobe cryptoloop
- Assure you have AES compiled in your kernel.
- Assure you have installed loop-aes
- Prepare a password (>20 chars for 128bit) and write it down at a secure place.
Encrypted partition
losetup -e AES128 /dev/loop0 /dev/hdaX mkfs -t ext2 /dev/loop0 losetup -d /dev/loop0 mkdir /mnt/secure
With losetup the encrypted partition /dev/hdaX will be used. You are asked to give a password. With 128 bits it must be longer than 20 characters.
In fstab put something like
/dev/hdaX /mnt/secure ext2 noauto,user,rw,loop=/dev/loop0,encryption=AES128 0 0
The option noauto gives you the chance to mount it in a terminal. This partition will be accesible and mountable by the user with
mount /dev/hdaX
You have to unmount it with
umount /dev/hdaX && losetup -d /dev/loop0
With aespipe you can encrypt an existing partition
aespipe -e AES128 -T < /dev/hda7 > /dev/hda7
Encrypted File
dd if=/dev/zero of=/home/user/secure bs=1024 count=5120 losetup -e AES128 /dev/loop0 /home/user/secure mkfs -t ext2 /dev/loop0 losetup -d /dev/loop0 mkdir /mnt/secure
This gives you a file with a size of 5MB (5120x1024 byte). You will be prompted for a password like before.
Mounting, unmounting and /etc/fstab entries are as mentioned before.