Kako namestiti šifrirane datotečne sisteme in zamenjati prostor z orodjem Cryptsetup v Linuxu - 3. del

LFCE (okrajšava za Linux Foundation Certified Engineer ) je usposobljen in ima strokovno znanje za namestitev, upravljanje in odpravljanje težav z omrežnimi storitvami v sistemih Linux in je odgovoren za načrtovanje, izvajanje in tekoče vzdrževanje sistemske arhitekture.

Predstavljamo vam Linux Foundation Certification Program (LFCE).

Zamisel šifriranja je omogočiti dostop do vaših občutljivih podatkov samo zaupanja vrednim osebam in jih zaščititi pred padcem v napačne roke v primeru izgube ali kraje vašega računalnika/trdega diska.

Preprosto povedano, ključ se uporablja za\" zaklepanje " dostopa do vaših podatkov, tako da postanejo na voljo, ko sistem zažene in odklene pooblaščeni uporabnik. To pomeni, da če oseba poskuša preuči vsebino diska (če ga priključite na svoj sistem ali z zagonom naprave z LiveCD/DVD/USB), bo namesto dejanskih datotek našel samo neberljive podatke.

V tem članku bomo razpravljali o tem, kako nastaviti šifrirane datotečne sisteme s standardnim orodjem za šifriranje na ravni jedra dm-crypt (okrajšava za mapper in cryptographic). Upoštevajte: ker je dm-crypt orodje na ravni bloka, se lahko uporablja samo za šifriranje celotnih naprav, particij ali naprav z zanko (ne bo delovalo v običajnih datotekah ali imenikih).

Priprava pogona/particije/zanke za šifriranje

Ker bomo najprej izbrisali vse podatke, ki so na izbranem pogonu (/dev/sdb ), moramo najprej narediti varnostno kopijo vseh pomembnih datotek, ki jih vsebuje ta particija PRED nadaljevanje.

Izbrišite vse podatke iz /dev/sdb . Tu bomo uporabili ukaz dd , lahko pa to storite tudi z drugimi orodji, kot je shred . Nato bomo v tej napravi ustvarili particijo, /dev/sdb1 , po razlagi v 4. delu - Ustvarjanje particij in datotečnih sistemov v Linuxu serije LFCS.

# dd if=/dev/urandom of=/dev/sdb bs=4096 

Preden nadaljujemo, se moramo prepričati, da je naše jedro prevedeno s podporo za šifriranje:

# grep -i config_dm_crypt /boot/config-$(uname -r)

Kot je opisano na zgornji sliki, je treba za nastavitev šifriranja naložiti jedrski modul dm-crypt .

Cryptsetup je vmesnik za ustvarjanje, konfiguriranje, dostop in upravljanje šifriranih datotečnih sistemov z uporabo dm-crypt .

# aptitude update && aptitude install cryptsetup 		[On Ubuntu]
# yum update && yum install cryptsetup 				[On CentOS] 
# zypper refresh && zypper install cryptsetup 			[On openSUSE]

Privzeti način delovanja za cryptsetup je LUKS ( Linux Unified Key Setup ), zato se bomo držali tega. Začeli bomo z nastavitvijo particije LUKS in gesla:

# cryptsetup -y luksFormat /dev/sdb1

Zgornji ukaz zažene cryptsetup s privzetimi parametri, ki jih lahko navedete z,

# cryptsetup --version

Če želite spremeniti parametre šifre , razprševanja ali ključa , lahko uporabite –šifro , < b> –hash in –key-size zastavi z vrednostmi iz /proc/crypto .

Nato moramo odpreti particijo LUKS (pozvani bomo k geslu, ki smo ga vnesli prej). Če bo overjanje uspešno, bo naša šifrirana particija na voljo znotraj /dev/mapper z določenim imenom:

# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition

Zdaj bomo formatirali particijo kot ext4 .

# mkfs.ext4 /dev/mapper/my_encrypted_partition

in ustvarite točko pritrditve za namestitev šifrirane particije. Na koncu bomo morda želeli potrditi, ali je bila operacija priklopa uspešna.

# mkdir /mnt/enc
# mount /dev/mapper/my_encrypted_partition /mnt/enc
# mount | grep partition

Ko končate s pisanjem ali branjem iz šifriranega datotečnega sistema, ga preprosto odklopite

# umount /mnt/enc

in zaprite particijo LUKS z uporabo,

# cryptesetup luksClose my_encrypted_partition

Na koncu bomo preverili, ali je naša šifrirana particija varna:

1. Odprite particijo LUKS

# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition

2. Vnesite geslo

3. Namestite particijo

# mount /dev/mapper/my_encrypted_partition /mnt/enc

4. Ustvarite preskusno datoteko znotraj točke pritrditve.

# echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt

5. Preverite, ali imate dostop do datoteke, ki ste jo pravkar ustvarili.

# cat /mnt/enc/testfile.txt

6. Odklopite datotečni sistem.

# umount /mnt/enc

7. Zaprite particijo LUKS.

# cryptsetup luksClose my_encrypted_partition

8. Poskusite particijo namestiti kot običajni datotečni sistem. Označevati mora napako.

# mount /dev/sdb1 /mnt/enc

Šifrirajte prostor za zamenjavo za nadaljnjo varnost

Geslo , ki ste ga vnesli prej za uporabo šifrirane particije, je shranjeno v pomnilniku RAM , ko je odprto. Če lahko nekdo dobi ta ključ v roke, bo lahko dešifriral podatke. To je še posebej enostavno v primeru prenosnega računalnika, saj je med prezimovanjem vsebina RAM-a na izmenjalni particiji.

Če želite, da tatu ne pustite kopije ključa dostopne, šifrirajte swap particijo po teh korakih:

1 Ustvarite particijo, ki jo želite uporabiti kot zamenjavo, z ustrezno velikostjo (v našem primeru /dev/sdd1 ) in jo šifrirajte, kot je bilo že razloženo. Za udobje ga poimenujte samo\" zamenjaj ". '

2. Nastavite kot zamenjavo in jo aktivirajte.

# mkswap /dev/mapper/swap
# swapon /dev/mapper/swap

3. Nato spremenite ustrezen vnos v /etc/fstab .

/dev/mapper/swap none        	swap	sw          	0   	0

4. Na koncu uredite /etc/crypttab in znova zaženite.

swap               /dev/sdd1         /dev/urandom swap

Ko sistem konča z zagonom, lahko preverite stanje prostora za zamenjavo:

# cryptsetup status swap

Povzetek

V tem članku smo raziskali, kako šifrirati particijo in zamenjati prostor. S to nastavitvijo bi morali biti vaši podatki precej varni. Če imate vprašanja ali komentarje, vas prosimo, da eksperimentirate in ne oklevajte. Preprosto uporabite spodnji obrazec - z veseljem vas bomo slišali!