19.6. Chiffrement d'un bloc vierge à l'aide de LUKS2
Vous pouvez crypter un périphérique bloc vierge, que vous pouvez utiliser pour un stockage crypté à l'aide du format LUKS2.
Conditions préalables
-
Un périphérique bloc vide. Vous pouvez utiliser des commandes telles que
lsblk
pour savoir s'il n'y a pas de données réelles sur ce périphérique, par exemple, un système de fichiers.
Procédure
Configurer une partition en tant que partition LUKS chiffrée :
# cryptsetup luksFormat /dev/nvme0n1p1 WARNING! ======== This will overwrite data on /dev/nvme0n1p1 irrevocably. Are you sure? (Type 'yes' in capital letters): YES Enter passphrase for /dev/nvme0n1p1: Verify passphrase:
Ouvrez une partition LUKS chiffrée :
# cryptsetup open dev/nvme0n1p1 nvme0n1p1_encrypted Enter passphrase for /dev/nvme0n1p1:
Cette commande déverrouille la partition et l'affecte à un nouveau périphérique en utilisant le mappeur de périphérique. Pour ne pas écraser les données chiffrées, cette commande avertit le noyau que le périphérique est un périphérique chiffré et qu'il est adressé par LUKS à l'aide de l'attribut
/dev/mapper/device_mapped_name
chemin.Créez un système de fichiers pour écrire des données cryptées sur la partition, à laquelle il faut accéder par le nom mappé du périphérique :
# mkfs -t ext4 /dev/mapper/nvme0n1p1_encrypted
Monter l'appareil :
# mount /dev/mapper/nvme0n1p1_encrypted mount-point
Vérification
Vérifiez si le périphérique de blocage vierge est crypté :
# cryptsetup luksDump /dev/nvme0n1p1 LUKS header information Version: 2 Epoch: 3 Metadata area: 16384 [bytes] Keyslots area: 16744448 [bytes] UUID: 34ce4870-ffdf-467c-9a9e-345a53ed8a25 Label: (no label) Subsystem: (no subsystem) Flags: (no flags) Data segments: 0: crypt offset: 16777216 [bytes] length: (whole device) cipher: aes-xts-plain64 sector: 512 [bytes] [...]
Affichez l'état du dispositif de bloc vierge crypté :
# cryptsetup status nvme0n1p1_encrypted /dev/mapper/nvme0n1p1_encrypted is active and is in use. type: LUKS2 cipher: aes-xts-plain64 keysize: 512 bits key location: keyring device: /dev/nvme0n1p1 sector size: 512 offset: 32768 sectors size: 20938752 sectors mode: read/write
Ressources supplémentaires
-
cryptsetup(8)
,cryptsetup-open (8)
, etcryptsetup-lusFormat(8)
pages de manuel