Aalto IT Help

View content in another language: English

Levysalaus (Aalto-Linux)

Kaikissa Aalto Linux -kannettavissa on levysalaus, joka tukee koko levyn salausta.

Käyttöönotto

Levyn salauksen käyttöönottamiseksi koneelle täytyy tehdä täysin uusi asennus.

Jos teet asennuksen jo käytössä olevalle koneelle, muista siirtää koneella olevat tiedostot turvaan, sillä koko levy pyyhitään asennuksen yhteydessä.

1. Koneen aseentamiseksi, ole yhteydessä ylläpitäjään tai IT-palvelupisteeseen.

2. Asennuksen jälkeen ja ensimmäisellä käynnistyskerralla kone vaatii asettamaan levysalausen salasanan. Mieti hyvä salasana, koska valintasi on käytännössä lopullinen.

linux-salaus-1

3. Syötä salasana kaksi kertaa ja paina se mieleesi. Varo erikoisempia erikoismerkkejä salasanassa. Ubuntussa on pitkäikäinen, tunnettu bugi sen suhteen, että näppäinkartta saattaa vaihtua salasanan asettamisen ja kysymisen välillä.

linux-salaus-2

 

linux-salaus-3

4. Kun salasana on asetettu onnistuneesti, täytyy se syöttää vielä kerran levyn avaamiseksi.

linux-salaus-4

 

Linux-salaus-5

5. Tästä eteenpäin kone käynnistyy tavalliseen tapaan.

Käyttö

Jokaisella käynnistymiskerralla kone kysyy levysalaus-salasanan ennen kuin käynnistyminen jatkuu.

 

Avainten käsittely (erikoistapaukset)

Normaaliolosuhteissa levysalaus-salasanoihin (avaimiin) ei tarvitse koskea.

Saatat tarvita alla olevia ohjeita mm. seuraavissa tapauksissa:

  • projektisi vaatii, että keskitettyä (konekohtaista) vara-avainta ei saa olla.
  • on tarpeen lisätä lisää avaimia, esim. yhteiskäyttöiseen kannettavaan.

Avaimia voi olla enintään seitsemän kappaletta. Avainten käsittelyyn tarvitaan root-oikeudet.  

LUKS-otsakkeen (header) tarkastelu

Esimerkiksi komennolla

 

cryptsetup luksDump /dev/sda5

 

näkyy tämäntapaisesti

 

LUKS header information for /dev/sda5

Version:        1

Cipher name:    aes

Cipher mode:    xts-plain64

Hash spec:      sha1

Payload offset: 4096

MK bits:        512

MK digest:      2d 20 db f4 d6 17 c3 5f eb f9 c9 eb 10 47 9d 1d 55 7e d8 4a

MK salt:        7e 0b 22 20 38 fa 76 0e 65 36 93 b7 9e cf b4 c0

                ed 38 f7 e4 77 97 06 75 43 ce 87 a4 a9 a1 7d 72

MK iterations:  46500

UUID:           21bf98d4-27e3-409d-ad12-1c0b156b992e

Key Slot 0: ENABLED

        Iterations:             189069

        Salt:                   cc 6f 1b 78 b4 53 7f a6 6a 0b cb cb 93 17 1f 87

                                0d 84 31 58 b8 35 b1 9d e1 b2 d6 84 91 d2 ee c0

        Key material offset:    8

        AF stripes:             4000

Key Slot 1: ENABLED

        Iterations:             237476

        Salt:                   41 68 0d 7d d4 e4 6f e6 f5 2a 3e 9d 30 75 96 27

                                69 0c 12 c8 f1 fc d3 11 5b 61 eb c9 c6 7a 9a 02

        Key material offset:    512

        AF stripes:             4000

Key Slot 2: DISABLED

Key Slot 3: DISABLED

Key Slot 4: DISABLED

Key Slot 5: DISABLED

Key Slot 6: DISABLED

Key Slot 7: DISABLED

 

Avaimen poisto

Alla <n> on slotin numero... keskitetty vara-avain on slot 1:ssa.

Alla <device> on useimmiten Aalto-Linuxissa /dev/sda5 mutta poikkeustapauksessa se voi olla joku muu.

 

cryptsetup luksKillSlot <device> <n>

 

Avaimen lisäys

cryptsetup luksAddKey <device>

 

Avaimen vaihto

cryptsetup luksChangeKey <device>

Käytämme yhteystietoja vain, jos tarvitsemme lisätietoja palautteeseen liittyen.
Tämä lomake on tarkoitettu vain ohjeesta annettavaan palautteeseen. Jos sinulla on ongelmia IT-palveluiden käytössä, ota yhteyttä: servicedesk@aalto.fi