Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Chapitre 19. Fonction volume_key

La fonction volume_key fournit deux outils, libvolume_key et volume_key. libvolume_key est une bibliothèque pour manipuler des clés de chiffrment du volume de stockage et pour les stocker hors des volumes. volume_key est un outil de ligne de commande associé utilisé pour extraire les clés et phrases de passe afin de restaurer l'accès à un disque dur chiffré.
Ceci est utile lorsque l'utilisateur principal oublie ses clés et mots de passe, après qu'un employé soit parti soudainement, ou afin d'extraire des données lorsqu'un échec du logiciel ou du matériel corrompt l'en-tête du volume chiffré. Dans un environnement d'entreprise, le service d'assistance informatique peut utiliser volume_key pour effectuer des copies de sauvegarde des clés de chiffrement avant de rendre l'ordinateur à l'utilisateur final.
Actuellement, volume_key prend uniquement en charge le format de chiffrement de volumes LUKS.

Note

volume_key n'est pas inclus dans une installation standard du serveur Red Hat Enterprise Linux 7. Pour obtenir des informations sur son installation, veuillez consulter http://fedoraproject.org/wiki/Disk_encryption_key_escrow_use_cases.

19.1. Commandes volume_key

Le format de volume_key est :
volume_key [OPTION]... OPERAND
Les opérandes et le mode d'opération de volume_key sont déterminés par une des options suivantes :
--save
Cette commande attend l’opérande volume [paquet]. Si un paquet est fourni, alors volume_key en extraira les clés et les phrases secrètes. Si le paquet n’est pas fourni, alors volume_key va extraire les clés et phrases secrètes du volume, en invitant l’utilisateur si nécessaire. Ces clés et les phrases secrètes seront alors stockées dans un ou plusieurs paquets de sortie.
--restore
Cette commande attend les opérandes de paquets de volume. Puis, il ouvre le volume et utilise les clés et phrases secrètes du paquet pour rendre le volume accessible à nouveau, invitant l’utilisateur à saisir un nouveau mot de passe, par exemple.
--setup-volume
Cette commande s'attend aux opérandes nom de paquet de volume, puis, ouvre le volume et utilise les clés et phrases secrètes du paquet pour configurer le volume à utiliser des données déchiffrées comme un nom.
Nom est le nom d’un volume de dm-crypt. Cette opération rend le volume décrypté disponible comme /dev/mapper/nom.
Cette opération ne modifie pas en permanence le volume en ajoutant une nouvelle phrase secrète, par exemple. L’utilisateur peut accéder et modifier le volume décrypté, en modifiant le volume dans le processus.
--reencrypt, --secrets, et --dump
Ces trois commandes exécutent des fonctions semblables avec diverses méthodes de sortie. Chacune d’entre elle requiert l'opérande paquet et ouvre le paquet, décryptant si nécessaire. --reencrypt stocke ensuite les informations dans un ou plusieurs nouveaux paquets de sortie. Les sorties de --secrets sont des clés et des phrases secrètes contenues dans le paquet. --dump affiche le contenu du paquet, bien que les clés et les phrases secrètes ne soient pas des sorties par défaut. Ceci peut être changé en ajoutant --with-secrets à la commande. Il est également possible de vider uniquement les pièces non cryptées du paquet, le cas échéant, à l’aide de la commande --unencrypted. Cela ne nécessite pas de phrase secrète ou d'accès de clé privée.
On peut ajouter à chacune d'entre elle les options suivantes :
-o, --output packet
Cette commande écrit la phrase secrète ou le mot de passe par défaut dans le paquet. La phrase secrète ou le mot de passe par défaut dépendent du format de volume. S’assurer qu'ils ne risquent pas d’expirer, et qu'ils permettront à--restore de restaurer l’accès au volume.
--output-format format
Cette commande utilise le format spécifié pour tous les paquets de sortie. Actuellement, le format peut correspondre à l'une des conditions suivantes :
  • asymmetric : utilise CMS pour encrypter le paquet, et exige un certificat
  • asymmetric_wrap_secret_only : englobe seulement le secret, ou les clés et les phrases secrètes et exige un certificat
  • passphrase : utilise GPG pour déchiffrer tout le paquet, et exige une phrase secrète
--create-random-passphrase packet
Cette commande génère une phrase secrète alphanumérique au hasard, l'ajoute au volume (sans affecter les autres phrases secrètes) et stocke ensuite ce mot de passe aléatoire dans le paquet.