Beyond Linux® From Scratch (Edição systemd ) - Versão 12.2

Capítulo 4. Segurança

cryptsetup-2.7.4

Introdução ao cryptsetup

cryptsetup é usado para configurar a encriptação transparente de dispositivos de bloco usando a API criptográfica do núcleo.

Esse pacote é conhecido por construir e funcionar corretamente usando uma plataforma LFS 12.2.

Informação do Pacote

Dependências do cryptsetup

Exigidas

JSON-C-0.17, LVM2-2.03.26 e popt-1.19

Opcionais

asciidoctor-2.0.23, libpwquality-1.4.5, argon2, libssh e passwdqc

Configuração do Núcleo

Dispositivos de bloco encriptados exigem suporte de núcleo. Para usá-lo, os parâmetros apropriados de configuração do núcleo precisam estar configurados: 

Device Drivers --->
  [*] Multiple devices driver support (RAID and LVM) --->                   [MD]
    <*/M> Device mapper support                                     [BLK_DEV_DM]
    <*/M>   Crypt target support                                      [DM_CRYPT]

-*- Cryptographic API --->                                              [CRYPTO]
  Block ciphers --->
    <*/M> AES (Advanced Encryption Standard)                        [CRYPTO_AES]
    # For tests:
    <*/M> Twofish                                               [CRYPTO_TWOFISH]
  Length-preserving ciphers and modes --->
    <*/M> XTS (XOR Encrypt XOR with ciphertext stealing)            [CRYPTO_XTS]
  Hashes, digests, and MACs --->
    <*/M> SHA-224 and SHA-256                                    [CRYPTO_SHA256]
  Userspace interface --->
    <*/M> Symmetric key cipher algorithms             [CRYPTO_USER_API_SKCIPHER]

Instalação do cryptsetup

Instale cryptsetup executando os seguintes comandos: 

./configure --prefix=/usr       \
            --disable-ssh-token \
            --disable-asciidoc  &&
make

Para testar o resultado, emita como o(a) usuário(a) root: make check. Alguns testes falharão se opções apropriadas de configuração do núcleo não estiverem configuradas. Algumas opções adicionais que possivelmente sejam necessárias para testes são: 

CONFIG_SCSI_LOWLEVEL,
CONFIG_SCSI_DEBUG,
CONFIG_BLK_DEV_DM_BUILTIN,
CONFIG_CRYPTO_USER,
CONFIG_CRYPTO_CRYPTD,
CONFIG_CRYPTO_LRW,
CONFIG_CRYPTO_XTS,
CONFIG_CRYPTO_ESSIV,
CONFIG_CRYPTO_CRCT10DIF,
CONFIG_CRYPTO_AES_TI,
CONFIG_CRYPTO_AES_NI_INTEL,
CONFIG_CRYPTO_BLOWFISH,
CONFIG_CRYPTO_CAST5,
CONFIG_CRYPTO_SERPENT,
CONFIG_CRYPTO_SERPENT_SSE2_X86_64,
CONFIG_CRYPTO_SERPENT_AVX_X86_64,
CONFIG_CRYPTO_SERPENT_AVX2_X86_64, and
CONFIG_CRYPTO_TWOFISH_X86_64

Agora, como o(a) usuário(a) root: 

make install

Explicações do Comando

--disable-ssh-token: Essa chave é exigida se a dependência opcional libssh não estiver instalada.

--disable-asciidoc: Essa chave desabilita regeneração das páginas de manual. Remova essa chave se você tiver asciidoctor-2.0.23 instalado e desejar regenerar as páginas de manual. Observe que mesmo se essa chave for usada, as páginas de manual pré geradas são enviadas no tarball e ainda serão instaladas.

Configurando cryptsetup

Devido ao número de configurações possíveis, a configuração de volumes encriptados está além do escopo do livro BLFS. Por favor, veja-se o guia de configuração nas Perguntas Frequentes do cryptsetup.

Conteúdo

Aplicativos Instalados: cryptsetup, cryptsetup-reencrypt, integritysetup e veritysetup
Bibliotecas Instaladas: libcryptsetup.so
Diretórios Instalados: Nenhum(a)

Descrições Curtas

cryptsetup

é usado para configurar mapeamentos de mapeadores de dispositivos gerenciados pelo dm-crypt

cryptsetup-reencrypt

é uma ferramenta para re-encriptação offline de dispositivo LUKS

integritysetup

é uma ferramenta para gerenciar volumes dm-integrity (integridade em nível de bloco)

veritysetup

é usado para configurar mapeamentos de mapeadores de dispositivos gerenciados dm-verity. O alvo de veracidade do mapeador de dispositivos fornece verificação de integridade transparente somente leitura de dispositivos de bloco usando a API criptográfica do núcleo