Beyond Linux® From Scratch (systemd Utgave) - Versjon -wip

Kapittel 4. Sikkerhet

cryptsetup-2.7.5

Introduksjon til cryptsetup

cryptsetup brukes til å sette opp transparent kryptering av blokkenheter ved å bruke kjernens krypterings API.

[Notat]

Notat

Utviklingsversjoner av BLFS kan ikke bygge eller kjøre noen pakker riktig hvis LFS eller avhengigheter har blitt oppdatert siden den siste stabile versjonene av bøkene.

Pakkeinformasjon

cryptsetup Avhengigheter

Påkrevd

JSON-C-0.18, LVM2-2.03.28, og popt-1.19

Valgfri

asciidoctor-2.0.23, libpwquality-1.4.5, argon2, libssh, og passwdqc

Kjernekonfigurasjon

Krypterte blokkenheter krever kjernestøtte. For å bruke det passende kjernekonfigurasjonsparametere må angis: 

Device Drivers --->
  [*] Multiple devices driver support (RAID and LVM) --->                   [MD]
    <*/M> Device mapper support                                     [BLK_DEV_DM]
    <*/M>   Crypt target support                                      [DM_CRYPT]

-*- Cryptographic API --->                                              [CRYPTO]
  Block ciphers --->
    <*/M> AES (Advanced Encryption Standard)                        [CRYPTO_AES]
    # For tests:
    <*/M> Twofish                                               [CRYPTO_TWOFISH]
  Length-preserving ciphers and modes --->
    <*/M> XTS (XOR Encrypt XOR with ciphertext stealing)            [CRYPTO_XTS]
  Hashes, digests, and MACs --->
    <*/M> SHA-224 and SHA-256                                    [CRYPTO_SHA256]
  Userspace interface --->
    <*/M> Symmetric key cipher algorithms             [CRYPTO_USER_API_SKCIPHER]

Installasjon av cryptsetup

Installer cryptsetup ved å kjøre følgende kommandoer: 

./configure --prefix=/usr       \
            --disable-ssh-token \
            --disable-asciidoc  &&
make

For å teste resultatet, kjør som root bruker: make check. Noen tester vil mislykkes hvis de riktige kjernekonfigurasjonsalternativene ikke er satt. Noen tilleggsalternativer som kan være nødvendige for tester er: 

CONFIG_SCSI_LOWLEVEL,
CONFIG_SCSI_DEBUG,
CONFIG_BLK_DEV_DM_BUILTIN,
CONFIG_CRYPTO_USER,
CONFIG_CRYPTO_CRYPTD,
CONFIG_CRYPTO_LRW,
CONFIG_CRYPTO_XTS,
CONFIG_CRYPTO_ESSIV,
CONFIG_CRYPTO_CRCT10DIF,
CONFIG_CRYPTO_AES_TI,
CONFIG_CRYPTO_AES_NI_INTEL,
CONFIG_CRYPTO_BLOWFISH,
CONFIG_CRYPTO_CAST5,
CONFIG_CRYPTO_SERPENT,
CONFIG_CRYPTO_SERPENT_SSE2_X86_64,
CONFIG_CRYPTO_SERPENT_AVX_X86_64,
CONFIG_CRYPTO_SERPENT_AVX2_X86_64, and
CONFIG_CRYPTO_TWOFISH_X86_64

Nå, som root bruker: 

make install

Parameterforklaringer

--disable-ssh-token: Dette alternativet er nødvendig hvis den valgfrie libssh avhengigheten ikke er installert.

--disable-asciidoc: Denne bryteren deaktiverer regenerering av manualsidene. Fjern denne bryteren hvis du har asciidoctor-2.0.23 installert og ønsker å regenerer manualsidene. Vær oppmerksom på at selv om denne bryteren brukes, de forhåndsgenererte manualsidene sendes i tarballen, og de vil fortsatt være installert.

Konfigurere cryptsetup

På grunn av antall mulige konfigurasjoner, oppsett av krypterte volumer ligger utenfor BLFS bokens omfang. Vennligst se konfigurasjonsveiledning i cryptsetup FAQ.

Innhold

Installerte Programmer: cryptsetup, cryptsetup-reencrypt, integritysetup, og veritysetup
Installerte Biblioteker: libcryptsetup.so
Installerte Mapper: Ingen

Korte Beskrivelser

cryptsetup

brukes til å konfigurere dm-crypt administrerte enhets mappetilordninger

cryptsetup-reencrypt

er et verktøy for frakoblet LUKS enhets rekryptering

integritysetup

er et verktøy for å administrere dm-integrity (blokknivåintegritet) volumer

veritysetup

brukes til å konfigurere dm-verity administrerte enhetsmappe tilordninger. Enhetskartlegging verifiseringsmål gir skrivebeskyttet transparent integritets kontroll av blokkenheter ved hjelp av kjernekrypterings API