确定LUKS/dmcrypt密钥是否存在

Question

我正在写一个厨师LWRP，以添加一个键到一个LUKS容器，我有困难想出一个方法，以确定我的钥匙是否已经存在。cryptsetup luksAddKey会很高兴地多次添加相同的密钥文件，所以我不能一直调用每个主厨运行的luksAddKey。

到目前为止，我想出的最好的是

cryptsetup luksDump /dev/xvdf1 --dump-master-key --key-file <thenewkey> > /dev/null

这似乎：

1. CPU密集
2. 不太安全

有人有更好的主意吗？

谢谢!

Answer 1

我看不到在不打开卷的情况下测试密钥的任何机会(至少是指CPU负载)。但是谁没有这几秒钟的CPU时间呢？每个系统有很多LUKS卷吗？

你也可以这样做：

每次添加密钥时，都会存储文件摘要(这甚至不需要安全摘要；甚至连MD5都可以)。您可以创建一个目录/etc/my_luks_keyfiles。对于系统中的每个LUKS卷，您将使用UUID (cryptsetup luksUUID /dev/bla)创建一个子For。如果您添加了一个键，那么您将创建一个文件，例如，时间戳作为名称，摘要作为内容。如果移除密钥，则移除文件。如果您想知道一个键是否是活动的，那么您可以将目录中的所有文件与摘要进行比较(也就是说，您不需要传输密钥文件)。

如果文件比活动插槽多或少，那么你就知道你搞砸了.