如何停止密码设置luksFormat在加密设备上创建luks头？

Question

我正在尝试设置一个分区，并试图将luks头放在USB设备上，所以我使用了参数--header /path/to/usb-device，但是我仍然能够解密设备而不需要安装usb设备。如何停止加密设置在加密设备上创建luks标头？

Answer 1

你一定是在什么地方用错了命令..。cryptsetup没有肆意地到处创建LUKS头.它只做你让它做的事情，它通常在做之前要求确认。

示例：

# truncate -s 8M luksheader luksdevice
# cryptsetup luksFormat --header luksheader luksdevice

WARNING!
========
This will overwrite data on luksheader irrevocably.

Are you sure? (Type uppercase yes): YES
Enter passphrase: 
Verify passphrase: 

# file -s luks*
luksdevice: data
luksheader: LUKS encrypted file, ver 1 [aes, xts-plain64, sha256] UUID: …

正如您所看到的，在luksdevice之后，没有LUKS头。如果有，那么它以前就已经在那里了。

您也可以直接luksFormat外部设备/文件，而无需指定“加密设备”(这在luksOpen上才真正重要)。

简化示例：

# cryptsetup luksFormat luksheader

这几乎等同于上面更复杂的命令，唯一的区别是在Payload offset中可以在luksDump中看到。如果头是作为外部标头创建的，那么这个偏移量应该是0，否则就会类似于4096 (2 MiB)。

如果您愿意的话，任何LUKS头都可以作为外部标头工作，并且保持Payload offset完整有其优点。如果您决定更改设置，您只需将外部标头放回原始设备上(反之亦然，切换到现有设备的外部标头)。