LUKS: „Linux“ standžiojo disko duomenų šifravimas su NTFS palaikymu „Linux“.

Akronimas LUKS reiškia Linux Unified Key Setup, kuris yra plačiai naudojamas disko šifravimo metodas, naudojamas Linux branduolyje ir įgyvendinamas su cryptsetup paketu.

Komandų eilutė cryptsetup užšifruoja tūrinį diską, naudodama simetrinį šifravimo raktą, gautą iš pateiktos slaptafrazės, kuri pateikiama kiekvieną kartą, kai įjungiamas tūrinis diskas, skaidinys ir visas diskas (net USB atmintinė). failų sistemos hierarchiją ir naudoja aes-cbc-essiv:sha256 šifrą.

Kadangi LUKS gali užšifruoti visus blokinius įrenginius (standžius diskus, USB atmintinės, Flash diskus, skaidinius, tomo grupes ir tt) Linux sistemose, iš esmės rekomenduojama apsaugoti išimamas laikmenas, nešiojamųjų kompiuterių standžiuosius diskus arba Linux apsikeitimo failus ir nerekomenduojama failams. lygio šifravimas.

NTFS (Naujosios technologijos failų sistema) yra patentuota failų sistema, kurią sukūrė „Microsoft“.

„Ubuntu 14.04“ suteikia visišką LUKS šifravimo palaikymą, taip pat NTFS vietinį „Windows“ palaikymą naudojant ntfs-3g paketą.

Norėdamas įrodyti savo teiginį šioje pamokoje, prie Ubuntu 14.04 dėžutės pridėjau naują standųjį diską (4-ą) (sistemos nuoroda į naujai pridėtą HDD yra /dev/sdd ), kuri bus padalinta į dvi dalis.

  1. Vienas skaidinys (/dev/sdd1 -primary), naudojamas LUKS šifravimui.
  2. Antrasis skaidinys (/dev/sdd5 – išplėstinis) suformatuotas NTFS, kad būtų galima pasiekti duomenis tiek Linux, tiek Windows sistemose.

Taip pat skaidiniai bus automatiškai prijungti prie Ubuntu 14.04 po perkrovimo.

1 veiksmas: sukurkite disko skaidinius

1. Kai kietasis diskas yra fiziškai pridėtas prie kompiuterio, naudokite komandą ls, kad pateiktumėte visus /dev/devices (ketvirtasis diskas yra /dev/sdd).

ls /dev/sd*

2. Tada patikrinkite naujai pridėtą HDD naudodami komandą fdisk.

sudo fdisk –l /dev/sdd

Nes nebuvo parašyta jokia failų sistema, todėl diske dar nėra galiojančios skaidinių lentelės.

3. Atliekant kitus veiksmus, naudojant cfdisk disko programą, standusis diskas supjaustomas dviem skaidiniais.

sudo cfdisk /dev/sdd

4. Kitame ekrane atidaromas interaktyvusis cfdisk režimas. Pasirinkite standžiajame diske Laisva vieta ir eikite į parinktį Naujas naudodami kairiojo/dešiniojo klavišo rodykles.

5. Pasirinkite skaidinio tipą kaip Pagrindinis ir paspauskite Enter.

6. Užrašykite norimą skaidinio dydį MB.

7. Sukurkite šį skaidinį laisvos vietos standžiajame diske pradžioje.

8. Tada eikite į skaidinio parinktį Tipas ir paspauskite Enter.

9. Kitame raginime pateikiamas visų tipų failų sistemų sąrašas ir jų numerio kodas ( Hex number). Šis skaidinys bus užšifruotas Linux LUKS, todėl pasirinkite 83 kodą ir dar kartą paspauskite Enter, kad sukurtumėte skaidinį.

10. Sukuriamas pirmasis skaidinys ir cfdisk paslaugų raginimas grįžta į pradžią. Norėdami sukurti antrą skaidinį, naudojamą kaip NTFS, pasirinkite likusią laisvą vietą, eikite į parinktį Naujas ir paspauskite klavišą Enter .

11. Šį kartą skaidinys bus Išplėstinis loginis. Taigi, eikite į parinktį Loginis ir dar kartą paspauskite Enter.

12. Dar kartą įveskite skaidinio dydį. Norėdami panaudoti likusią laisvą vietą kaip naują skaidinį, palikite numatytąją dydžio reikšmę ir tiesiog paspauskite Enter.

13. Dar kartą pasirinkite skaidinio tipo kodą. Failų sistemai NTFS pasirinkite 86 apimties kodą.

14. Peržiūrėję ir patvirtinę skaidinius pasirinkite Rašyti, į kitą interaktyvųjį klausimą atsakykite taip, tada Išeiti, kad išeitumėte b>cfdisk įrankis.

Sveikiname! Jūsų skaidiniai buvo sėkmingai sukurti ir dabar yra paruošti formatuoti ir naudoti.

15. Norėdami dar kartą patikrinti disko skirstymo lentelę, dar kartą išleiskite komandą fdisk, kuri parodys išsamią skaidinių lentelės informaciją.

sudo fdisk –l /dev/sdd

2 veiksmas: sukurkite skaidinių failų sistemą

NTFS failų sistema

16. Norėdami sukurti NTFS failų sistemą antrajame skaidinyje, paleiskite komandą mkfs.

sudo mkfs.ntfs /dev/sdd5

17. Kad skaidinys būtų prieinamas, jis turi būti prijungtas failų sistemoje prie prijungimo taško. Prijunkite antrąjį skaidinį ketvirtame standžiajame diske prie /opt prijungimo taško naudodami komandą mount.

sudo mount /dev/sdd5 /opt

18. Tada patikrinkite, ar skaidinys yra prieinamas ir ar yra faile /etc/mtab, naudodami komandą cat.

cat /etc/mtab

19. Norėdami atjungti skaidinį, naudokite šią komandą.

sudo umount /opt
EXT4 LUKS

20. Įsitikinkite, kad cryptsetup paketas įdiegtas jūsų sistemoje.

sudo apt-get install cryptsetup		[On Debian Based Systems]

yum install cryptsetup				[On RedHat Based Systems]

21. Dabar laikas suformatuoti pirmąjį ketvirtojo standžiojo disko skaidinį su ext4 failų sistema, išduodant šią komandą.

sudo luksformat  -t ext4  /dev/sdd1

Į klausimą „Ar tikrai?“ atsakykite didžiosiomis raidėmis TAIP ir tris kartus įveskite norimą slaptafrazę.

Pastaba: priklausomai nuo skaidinio dydžio ir HDD greičio, failų sistemos kūrimas gali užtrukti.

22. Taip pat galite patikrinti skaidinio įrenginio būseną.

sudo cryptsetup luksDump  /dev/sdd1

23. LUKS palaiko daugiausiai 8 pridėtų slaptažodžių. Norėdami pridėti slaptažodį, naudokite šią komandą.

sudo cryptsetup luksAddKey /dev/sdd1

Norėdami pašalinti slaptažodį, naudokite.

sudo cryptsetup luksRemoveKey /dev/sdd1

24. Kad šis Šifruotas skaidinys būtų aktyvus, jis turi turėti pavadinimo įrašą (būti inicijuotas ) kataloge /dev/mapper, naudojant cryptsetup paketas.

Šiam nustatymui reikalinga tokia komandų eilutės sintaksė:

sudo cryptsetup luksOpen  /dev/LUKS_partiton  device_name

Kur „įrenginio_pavadinimas“ gali būti bet koks jums patinkantis aprašomasis pavadinimas! (Aš pavadinau jį savo crypted_volume). Tikroji komanda atrodys taip, kaip parodyta žemiau.

sudo cryptsetup luksOpen  /dev/sdd1 crypted_volume

25. Tada patikrinkite, ar jūsų įrenginys įtrauktas į /dev/mapper, katalogą, simbolinę nuorodą ir įrenginio būseną.

ls /dev/mapper
ls –all /dev/mapper/encrypt_volume

sudo cryptsetup –v status encrypt_volume

26. Dabar norėdami, kad skaidinio įrenginys būtų plačiai prieinamas, prijunkite jį prie sistemos prijungimo taške naudodami komandą mount.

sudo mount  /dev/mapper/crypted_volume  /mnt

Kaip matyti, skaidinys yra sumontuotas ir prieinamas duomenims rašyti.

27. Jei norite, kad jis nepasiekiamas, tiesiog atjunkite jį nuo sistemos ir uždarykite įrenginį.

sudo umount  /mnt
sudo cryptsetup luksClose crypted_volume

3 veiksmas: sumontuokite pertvarą automatiškai

Jei naudojate fiksuotą standųjį diską ir reikia, kad abu skaidiniai būtų automatiškai prijungti prie sistemos po perkrovimo, turite atlikti šiuos du veiksmus.

28. Pirmiausia redaguokite /etc/crypttab failą ir pridėkite šiuos duomenis.

sudo nano /etc/crypttab
  1. Tikslinis pavadinimas: aprašomasis įrenginio pavadinimas (žr. aukščiau esantį 22 punktą EXT4 LUKS).
  2. Šaltinio diskas: standžiojo disko skaidinys, suformatuotas LUKS (žr. aukščiau esantį 21 punktą EXT4 LUKS).
  3. Rakto failas: nepasirinkite nė vieno
  4. Parinktys: nurodykite luks

Galutinė eilutė atrodys taip, kaip parodyta žemiau.

encrypt_volume               /dev/sdd1          none       luks

29. Tada redaguokite /etc/fstab ir nurodykite įrenginio pavadinimą, prijungimo tašką, failų sistemos tipą ir kitas parinktis.

sudo nano /etc/fstab

Paskutinėje eilutėje naudokite šią sintaksę.

/dev/mapper/device_name (or UUID)	/mount_point     filesystem_type     options    dump   pass

Ir pridėkite savo konkretų turinį.

/dev/mapper/encrypt_volume      /mnt    ext4    defaults,errors=remount-ro     0     0

30. Norėdami gauti įrenginio UUID, naudokite šią komandą.

sudo blkid

31. Jei taip pat norite pridėti anksčiau sukurtą NTFS skaidinio tipą, naudokite tą pačią sintaksę, kaip ir anksčiau, naujoje fstab eilutėje (čia Linux failo pridėjimas peradresavimas yra naudojamas ).

sudo su -
echo "/dev/sdd5	/opt	ntfs		defaults		0              0"  >> /etc/fstab

32. Norėdami patvirtinti pakeitimus iš naujo paleiskite įrenginį, paspauskite Enter po įkrovos pranešimo Pradedama konfigūruoti tinklo įrenginį ir įveskite jūsų įrenginio slaptafrazė.

Kaip matote, abu disko skaidiniai buvo automatiškai prijungti prie Ubuntu failų sistemos hierarchijos. Patarimas nenaudokite automatiškai užšifruotų tomų iš fstab failo fiziškai nutolusiuose serveriuose, jei negalite pasiekti perkrovimo sekos, kad pateiktumėte šifruoto tomo slaptažodį.

Tie patys nustatymai gali būti taikomi visų tipų keičiamoms laikmenoms, tokioms kaip USB atmintinė, „Flash“ atmintis, išorinis standusis diskas ir kt., siekiant apsaugoti svarbius, slaptus ar neskelbtinus duomenis pasiklausymo ar vagystės atveju.