• Jak utworzyć zaszyfrowany kontener LUKS w Linuksie i automatycznie montować go przy starcie systemu
    Linux

    Jak utworzyć zaszyfrowany kontener LUKS w Linuksie i automatycznie montować go przy starcie systemu

    Marek „Netbe” Lampart Opublikowane w

    🔐 Jak utworzyć zaszyfrowany kontener LUKS w Linuksie i automatycznie montować go przy starcie systemu

    LUKS (Linux Unified Key Setup) to standard szyfrowania dysków i partycji w Linuksie. W tym poradniku pokażę, jak:

    ✅ utworzyć zaszyfrowany kontener plikowy,
    ✅ zamontować go i odszyfrować ręcznie lub automatycznie,
    ✅ używać go jak wirtualny dysk (np. do przechowywania logów, backupów, kluczy),
    ✅ zintegrować z systemd i crypttab.

    📦 Zastosowania kontenera LUKS

    • przechowywanie danych RODO/ISO (audytowalność),
    • ochrona backupów offline,
    • prywatne repozytorium haseł, kluczy GPG, SSH,
    • zabezpieczone miejsce na logi serwera lub /home,
    • zewnętrzny dysk USB z szyfrowaniem.

    🛠️ Krok 1: Tworzenie pustego pliku – kontenera

    dd if=/dev/zero of=/secure-volume.img bs=1M count=2048

    To utworzy 2 GB plik-kontener. Możesz zmienić rozmiar (np. count=10240 dla 10 GB).

    🔐 Krok 2: Inicjalizacja szyfrowania LUKS

    sudo cryptsetup luksFormat /secure-volume.img

    Potwierdź wpisując YES, a następnie ustaw hasło.

     

    Jak utworzyć zaszyfrowany kontener LUKS w Linuksie i automatycznie montować go przy starcie systemu
    Jak utworzyć zaszyfrowany kontener LUKS w Linuksie i automatycznie montować go przy starcie systemu

    🔓 Krok 3: Otwórz i odszyfruj kontener

    sudo cryptsetup open /secure-volume.img securevol

    To utworzy /dev/mapper/securevol.

    🧾 Krok 4: Utwórz system plików i zamontuj

    sudo mkfs.ext4 /dev/mapper/securevol
sudo mkdir /mnt/securevol
sudo mount /dev/mapper/securevol /mnt/securevol

    🔒 Krok 5: Odmontowanie i zamknięcie

    sudo umount /mnt/securevol
sudo cryptsetup close securevol

    ⚙️ Krok 6: Automatyczne montowanie przy starcie systemu

    🗂️ 1. Dodaj wpis do /etc/crypttab

    sudo nano /etc/crypttab

    Dodaj:

    securevol /secure-volume.img none luks
    • securevol – alias, który pojawi się w /dev/mapper/
    • none – system zapyta o hasło przy starcie (możesz też użyć keyfile)

    🗂️ 2. Dodaj wpis do /etc/fstab

    sudo nano /etc/fstab

    Dodaj:

    /dev/mapper/securevol /mnt/securevol ext4 defaults 0 2

    🛡️ Opcjonalnie: automatyzacja z kluczem (bez pytania o hasło)

    1. Wygeneruj plik klucza:
    sudo dd if=/dev/urandom of=/root/securevol.key bs=1 count=64
sudo chmod 600 /root/securevol.key
    1. Dodaj klucz do kontenera:
    sudo cryptsetup luksAddKey /secure-volume.img /root/securevol.key
    1. Zmień wpis w /etc/crypttab:
    securevol /secure-volume.img /root/securevol.key luks

    🧠 Pro tipy

    • LUKS wspiera wiele haseł/kluczy – idealne do rotacji
    • Możesz użyć LUKS na dyskach zewnętrznych i USB
    • Używaj udisksctl lub GNOME Disks do GUI-zarządzania
    • Monitoruj stan kontenera z lsblk, cryptsetup status securevol

    ✅ Podsumowanie

    ✔️ Kontener LUKS to bardzo bezpieczny sposób przechowywania danych,
    ✔️ Nadaje się zarówno do backupów, jak i danych operacyjnych,
    ✔️ Można go zintegrować z bootowaniem systemu, systemd i cron,
    ✔️ Zapewnia pełną zgodność z wymaganiami prywatności (np. RODO).

    Czytaj  Uprawnienia aplikacji na Androidzie – co naprawdę musisz zaakceptować, a co można bezpiecznie zablokować?

     

    Polecane wpisy
    Nowości w social media
    Nowości w social media

    Nowości w Social Media: Rewolucyjne Trendy, Funkcje i Platformy Nowości w social media   Social media Czytaj dalej

    Jak działają uprawnienia aplikacji i które najlepiej ograniczyć?
    Jak działają uprawnienia aplikacji i które najlepiej ograniczyć?

    📱 Jak działają uprawnienia aplikacji i które najlepiej ograniczyć? Instalując nową aplikację na Androidzie, często klikamy "Zezwól" bez zastanowienia. Tymczasem Czytaj dalej

    Powiązane wpisy:

    1. Szyfrowanie logów i kopii zapasowych w Linuksie za pomocą GPG lub OpenSSL – krok po kroku
    2. Jak utworzyć zaszyfrowany katalog w Linuksie za pomocą gocryptfs lub encfs – krok po kroku
    3. Monitorowanie stanu zaszyfrowanych wolumenów LUKS w Linuksie – cryptsetup, systemd i alerty e-mail
    4. Hardening Linuxa: Kompletny przewodnik po konfiguracji bezpieczeństwa serwerów i stacji roboczych
    5. Tworzenie szyfrowanego zdalnego zasobu w rclone (rclone crypt) – krok po kroku
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również