Kaip nustatyti šifruotas failų sistemas ir pakeisti erdvę naudojant „Cryptsetup“ įrankį „Linux“ - 3 dalis
LFCE (trumpinys - Linux Foundation Certified Engineer ) yra apmokytas ir turi patirties diegti, valdyti ir šalinti tinklo paslaugas „Linux“ sistemose, ir yra atsakingas už projektavimas, diegimas ir nuolatinė sistemos architektūros priežiūra.
Pristatome „Linux Foundation“ sertifikavimo programą (LFCE).
Šifravimo idėja yra leisti patikimiems asmenims pasiekti jūsų neskelbtinus duomenis ir apsaugoti juos nuo nepatekimo į netinkamas rankas, jei pamestumėte ar pavogtumėte savo kompiuterį/kietąjį diską.
Paprasčiau tariant, raktas naudojamas „ užrakinti “ prieigą prie jūsų informacijos, kad ji taptų prieinama, kai sistema veikia ir ją atrakina įgaliotas vartotojas. Tai reiškia, kad jei asmuo bandys ištirti disko turinį (prijungti jį prie savo sistemos arba paleisti mašiną su „LiveCD/DVD/USB“), jis ras tik neskaitytinus duomenis, o ne faktinius failus.
Šiame straipsnyje aptarsime, kaip nustatyti šifruotas failų sistemas naudojant dm-crypt (sutrumpintai - įrenginio žemėlapį ir kriptografiją), standartinį branduolio lygio šifravimo įrankį. Atminkite, kad, kadangi dm-crypt yra bloko lygio įrankis, jį galima naudoti tik šifruojant visus įrenginius, skaidinius ar kilpinius įrenginius (neveiks įprastuose failuose ar kataloguose).
Disko/skaidinio/kilpos įrenginio paruošimas šifravimui
Kadangi mes ištrinsime visus duomenis, esančius mūsų pasirinktame diske (/dev/sdb ), pirmiausia turime atlikti visų svarbių failų, esančių tame skaidinyje, atsarginę kopiją PRIEŠ tęsti toliau.
Nuvalykite visus duomenis iš /dev/sdb . Čia naudosime komandą dd , bet tai galite padaryti ir naudodami kitus įrankius, pvz., susmulkinti . Toliau šiame įrenginyje sukursime skaidinį /dev/sdb1 , vadovaudamiesi paaiškinimu, esančiu LFCS serijos 4 dalyje - Kurti skaidinius ir failų sistemas sistemoje „Linux“.
# dd if=/dev/urandom of=/dev/sdb bs=4096
Prieš tęsdami toliau, turime įsitikinti, kad mūsų branduolys buvo sukompiliuotas palaikant šifravimą:
# grep -i config_dm_crypt /boot/config-$(uname -r)
Kaip nurodyta aukščiau esančiame paveikslėlyje, norint nustatyti šifravimą, reikia įkelti branduolio modulį dm-crypt .
„Cryptsetup“ yra sąsaja, skirta kurti, konfigūruoti, pasiekti ir valdyti šifruotas failų sistemas naudojant dm-crypt .
# aptitude update && aptitude install cryptsetup [On Ubuntu] # yum update && yum install cryptsetup [On CentOS] # zypper refresh && zypper install cryptsetup [On openSUSE]
Numatytasis kriptografijos veikimo režimas yra LUKS ( „Linux Unified Key Setup“), todėl mes jo laikysimės. Pirmiausia nustatysime LUKS skaidinį ir slaptafrazę:
# cryptsetup -y luksFormat /dev/sdb1
Aukščiau pateikta komanda vykdo cryptsetup su numatytaisiais parametrais, kuriuos galima išvardyti,
# cryptsetup --version
Jei norite pakeisti parametrus šifras , maišos arba raktas , galite naudoti –šifrą , < b> –hash ir –key-size vėliavos, kurių reikšmės paimtos iš /proc/crypto .
Tada turime atidaryti LUKS skaidinį (mums bus pasiūlyta įvesti slaptafrazę, kurią įvedėme anksčiau). Jei autentifikavimas pavyks, šifruotą skaidinį bus galima rasti /dev/mapper viduje nurodytu pavadinimu:
# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
Dabar formatuosime skaidinį kaip ext4 .
# mkfs.ext4 /dev/mapper/my_encrypted_partition
ir sukurkite prijungimo tašką šifruotam skaidiniui prijungti. Galiausiai norime patvirtinti, ar prijungimo operacija pavyko.
# mkdir /mnt/enc # mount /dev/mapper/my_encrypted_partition /mnt/enc # mount | grep partition
Kai baigsite rašyti arba skaityti iš užšifruotos failų sistemos, paprasčiausiai atjunkite
# umount /mnt/enc
ir uždarykite LUKS skaidinį naudodami,
# cryptesetup luksClose my_encrypted_partition
Galiausiai patikrinsime, ar mūsų užšifruotas skaidinys yra saugus:
1. Atidarykite LUKS skaidinį
# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
2. Įveskite savo slaptafrazę
3. Sumontuokite pertvarą
# mount /dev/mapper/my_encrypted_partition /mnt/enc
4. Sukūrimo taške sukurkite manekeno failą.
# echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt
5. Patikrinkite, ar galite pasiekti failą, kurį ką tik sukūrėte.
# cat /mnt/enc/testfile.txt
6. Atjunkite failų sistemą.
# umount /mnt/enc
7. Uždarykite LUKS skaidinį.
# cryptsetup luksClose my_encrypted_partition
8. Pabandykite prijungti skaidinį kaip įprastą failų sistemą. Tai turėtų nurodyti klaidą.
# mount /dev/sdb1 /mnt/enc
Užšifruokite keitimo vietą tolesniam saugumui
Slaptafrazė , kurią įvedėte anksčiau, kad galėtumėte naudoti šifruotą skaidinį, saugoma RAM atmintyje, kol ji atidaryta. Jei kas nors gali pasinaudoti šiuo raktu, jis galės iššifruoti duomenis. Tai ypač lengva padaryti nešiojamojo kompiuterio atveju, nes miego režimu RAM turinys laikomas apsikeitimo skaidinyje.
Kad vagis nepaliktų prieinamas rakto kopijai, užšifruokite apsikeitimo skaidinį atlikdami šiuos veiksmus:
1 Sukurkite skaidinį, kuris bus naudojamas kaip tinkamas dydis (/dev/sdd1 mūsų atveju) ir užšifruokite, kaip paaiškinta anksčiau. Pavadinkite tai tiesiog „ sukeisti “, kad būtų patogiau. “
2. Nustatykite jį kaip sukeisti ir suaktyvinkite.
# mkswap /dev/mapper/swap # swapon /dev/mapper/swap
3. Tada pakeiskite atitinkamą įrašą /etc/fstab .
/dev/mapper/swap none swap sw 0 0
4. Galiausiai redaguokite /etc/crypttab ir paleiskite iš naujo.
swap /dev/sdd1 /dev/urandom swap
Baigę sistemos paleidimą, galite patikrinti sukeitimo vietos būseną:
# cryptsetup status swap
Santrauka
Šiame straipsnyje mes ištyrėme, kaip užšifruoti skaidinį ir pakeisti vietą. Pasirinkus šią sąranką, jūsų duomenys turėtų būti gerokai saugūs. Nedvejodami eksperimentuokite ir nedvejodami susisiekite su mumis, jei turite klausimų ar komentarų. Tiesiog naudokitės žemiau esančia forma - mums bus daugiau nei malonu išgirsti iš jūsų!