Napjainkban a fontos adatok tiszta helyen való tárolása veszélyesebbé vált, mint valaha. És még csak nem is az állami megfigyelés miatt (ha akarják, találnak majd panaszt, stb.), hanem azok miatt, akik el akarják lopni ezeket az adatokat. Elvileg sok módszer létezik az információk védelmére, de a cikk pontosan leírja a kriptográfiai eszközöket.
Más operációs rendszerekkel ellentétben a Linux számos eszközzel rendelkezik az információk kriptográfiai védelmére – a levelezési levelezés titkosításától a fájlok és blokkolóeszközök titkosításáig. Érdeklődünk a fájlrendszerek, fájlok és blokkeszközök szintjén történő titkosítás iránt. Először is érdemes megérteni, mi a különbség. A fájlrendszer szintű titkosítás egy réteget foglal magában a fő között fájlrendszer(kivéve persze, ha maga a fájlrendszer támogatja a titkosítást) és a felhasználót.
Előny ebből a típusból titkosítás – hogy az összes felhasználó kulcsa eltérő. Hátránya, hogy ha engedélyezzük a fájlnév-titkosítást, az érvényes név hossza csökken, ráadásul a felhasználó más helyre mentheti a fájlt a lemezen, ami automatikusan kiegyenlíti az előnyt. És még egy dolog - még ha a névtitkosítás engedélyezve is van, az időbélyegek ugyanazok maradnak. A blokkeszközök titkosítása alacsonyabb szinten, a fájlrendszer alatt történik. Ugyanakkor maga a fájlrendszer természetesen nem tudja, hogy titkosított köteten található.
Előnyök ez a módszer szemben az előző hiányosságaival. Hátránya, hogy minden rendszerindításkor/csatoláskor jelszót kell megadni. A második hátrány az, hogy ha futás közben a támadó hozzáfér a kripto-
teiner, minden - írd elpazarolt. Pontosan ez a védelem az offline támadások ellen. Ezenkívül a kriptotároló felhőbe mentésekor a legtöbb esetben teljesen újra fel kell töltenie.
A cikk a következő kriptográfiai védelmi módszerek konfigurációját írja le:
dm-crypt/LUKS- cryptocontainer létrehozása eszközleképező és CryptoAPI kernellel;
eCryptfs- titkosítás fájlrendszerek szintjén;
EncFS- hasonló a fentiekhez, de nem igényel kernelmodulok betöltését.
DM-CRYPT/LUKS
Kétféle dm-crypt beállítás létezik – sima és LUKS. A különbség az, hogy a LUKS használata esetén a titkosítási kötet elején metaadatok találhatók, amelyek lehetővé teszik több kulcs használatát és megváltoztatását. Ugyanakkor egy ilyen cím jelenléte bizonyos esetekben önmagában is kompromittáló – a legtöbb esetben azonban hasonló esetek nagy entrópiával rendelkező, kompromittáló terület lesz. Sima dm-crypt beállítása kulcsfájllal és jelmondattal Nézzük meg, hogyan állíthatunk be egy egyszerű dm-crypt kötet kombinációját egy LUKS-tárolóban található kulcsfájllal titkosítva. Először is érdemes eldönteni, hogy a szakaszok pontosan hogyan lesznek elhelyezve. Három fő lehetőség van:
csak egy kriptokötet;
először egy kriptokötet, majd a tetejére LVM;
először kriptokötet, majd RAID, majd LVM.
És mindenféle kombináció. Próbáljuk meg a második lehetőséget. Először is hozzunk létre egy LUKS-tárolót a kulcsfájl tárolására, hogy ezt a fájlt a jelszóval együtt használhassuk. Ebben az esetben a sima dm-crypttel titkosított kötet kriptográfiai elemzésének valószínűsége csökken:
# dd if=/dev/zero of=/root/key.luks bs=512 count=2057 # cryptsetup --align-payload=1 luks Format /root/key.luks # cryptsetup luks Nyissa meg a /root/key.luks kriptokulcsot # dd if=/dev/urandom of=/dev/mapper/cryptokey |
Az első parancs előkészíti a tárolófájlt, a második létrehozza ezt a tárolót, a harmadik csatlakozik, a negyedik kulcsinformációkat generál. Érdemes megjegyezni, hogy a --align-payload=1 opcióra azért van szükség, hogy a LUKS metaadatok mérete ne 4096 512 bájtos blokk legyen, hanem csak 2056. Így 512 bájt marad a tényleges kulcsinformációhoz.
Ezután folytatjuk a kriptotóma létrehozását. Ezen a ponton opcionálisan megtöltheti a lemezt pszeudo-véletlen adatokkal, hogy megnehezítse a kriptoanalízist, ha van ilyen. Ezután már létrehozhat egy kriptotómot. Ennek parancsa a következő (persze más esetekben az azonosítók eltérhetnek, ezért vigyázni kell):
# cryptsetup --cipher=serpent-xts-plain64 --offset=0--key-file=/dev/mapper/cryptokey --key-size=512 open --type=plain/dev/disk/by-id/ ata-VBOX_HARDDISK_VB05eadebe-f25e8d59 crypto0 |
Ha szükséges, ismételje meg ugyanazt a parancsot más, titkosítást igénylő eszközökön. Ezután létrehozzuk az LVM-et a kriptotomokon és az FS-t rajta:
Hozzuk létre az /etc/initramfs-tools/hooks/cryptokeys fájlt a következő tartalommal (a szkript szolgáltatási része kimarad):
És az /etc/initramfs-tools/scripts/local-top/cryptokeys fájl (ismét a szolgáltatás része
vagy kihagyva):
# <...> modprobe -b dm_crypt míg! (/sbin/cryptsetup luks Nyissa meg /etc/crypto/key . luks cryptokey /dev/disk/by-id/ata-VBOX_HARDDISK_VB05eadebe-f25e8d59 crypto0 && /sbin/cryptsetup plainOpen -- kulcs - file=/dev/mapper/cryptokey /dev/disk/by-id/ata-VBOX_HARDDISK_VBc2414841-cfeccde5 crypto1 && /sbin/cryptsetup luksZárja be a titkosítási kulcsot ) ; csináld echo „Próbáld újra . . . ” Kész |
Ennek a két fájlnak futtathatónak kell lennie. Ezután létrehozunk egy initrd-t:
# update-initramfs -u -k all -v |
A következő újraindításkor jelszót kell megadni a LUKS-tárolóhoz. Sima dm-crypt használata esetén van egy másik lehetőség - egy közös alsó réteg, amely lehetővé teszi olyasmiket, mint a TrueCrypt rejtett kötetek. Egyszerűbb példát mondani:
# cryptsetup --cipher=serpent-xts-plain64 --offset=0--size=2097152 --shared open --type=plain/dev/disk/by-id/ata-VBOX_HARDDISK_VBcda8398f-f1f1deec crypto # cryptsetup --cipher=serpent-xts-plain64 --offset=2097152--size=2097152 --shared open --type=plain/dev/disk/by-id/ata-VBOX_HARDDISK_VBcda8398f-f1f1deec crypto_shared |
A méret és az eltolás 512 bájtos blokkban van megadva.
A LUKS speciális funkciói
Nézzük meg a LUKS konténerek használatának speciális funkcióit is. Ezek közé tartozik a kulcscsere. Erre akkor van szükség, ha újrakulcsolási szabályzatot sértenek vagy hoznak létre. Ennek első lépése a tárolófejléc biztonsági mentése. Zuhanok
normál esetben a kulcscsere után megsemmisülhet. Ezt természetesen titkosítatlan partíción tesszük:
Végül adjon hozzá egy új kulcsot a rendszerhez:
Fontolja meg a LUKS-kötetek visszaállításának eljárását. A legegyszerűbb lehetőség természetesen az, ha van másolat a fejlécről. Ebben az esetben csak egy parancsra van szükség a visszaállításhoz:
A leghosszabb folyamatos sor a főkulcs lesz. Egy titkosítatlan köteten lévő fájlba kell másolni, majd bináris formátumba konvertálni (előtte győződjön meg arról, hogy adott fájl nincsenek
sorvégi karakterek):
ENCFS
Nézzük meg, hogyan kell beállítani az EncFS-t, hogy bejelentkezéskor automatikusan csatlakozzon. Először telepítsük a szükséges csomagokat:
Szakértői módban történő beállításkor egy sor kérdést feltesznek: titkosítás típusa (csak AES és Blowfish elérhető), kulcsméret, blokkméret, fájlnevek titkosítása - blokk titkosítás (amely teljesen elrejti a fájl nevét, beleértve a hosszt is ), streaming (amely a lehető legközelebbi hosszúsággal titkosít, ami néha kényelmes, ha a nevek túl hosszúak, és blokk-rejtjel használatakor meglehetősen nagy a valószínűsége annak, hogy túllépi a megengedett maximális hosszúságot), vagy teljesen hiányzik ... a végén egy jelszót kell kérni, annak meg kell egyeznie a belépéshez használtal, különben nem fog működni az automount.
Ezután szerkesztenie kell az /etc/security/pam_encfs.conf fájlt:
És az /etc/fuse.conf fájl:
És adja hozzá a felhasználót a biztosítékcsoporthoz:
$ sudo usermod -a -G biztosíték $USER |
Kijelentkezés-bejelentkezés után a privát telefonkönyv személyes adatok tárolására használható. Érdemes azonban megjegyezni, hogy az audit során feltártak néhány (elég komoly) biztonsági problémát, amelyek miatt ezt a rendszert Nagyon nem ajánlott igazán fontos adatok tárolására használni.
TITKOSÍTÁSOK
Ismeretes, hogy az eCryptFS-t az Ubuntu alapértelmezett saját könyvtárvédelmi eszközként használja. Lássuk, hogyan működik – hozzunk létre egy titkosított könyvtárat manuálisan. Csomagok telepítése:
Az eCryptFS létrehozása
És csatolja az FS-t (az első felcsatolás során minden szükséges metaadat létrejön):
$ sudo mount -t ecryptfs /home/rom/ . titkos/otthon/rom/titok |
Jelszót kell kérni (csak egyszer, az újbóli bejegyzés nem valósul meg, ami nem néz ki túl jól jó döntés, mivel hosszúnak kell lennie), akkor kérni fogja a titkosítás típusát (AES, Blowfish, 3DES, Twofish, CAST6 és CAST5), a kulcsméretet, rákérdez, hogy engedélyezi-e vagy letiltja-e a titkosítatlan fájlokat a könyvtárban a titkosított fájlokkal, titkosítani kell-e a fájlneveket... és a végén megkérdezi, hogy valóban fel akarjuk-e csatolni és elmenteni az aláírást egy adott fájlba. A kérdés nem olyan hülye, mint amilyennek elsőre tűnik: ebben a szoftverben aláírás hiányában nem lehet megkülönböztetni a helyes jelszót a helytelentől.
A felhasználó saját könyvtárának titkosítása
Az első futtatás során előfordulhat, hogy több folyamatot le kell állítania. A titkosítást követően azonnal be kell jelentkeznie felhasználóként, és meg kell írnia vagy ki kell nyomtatnia a titkosításhoz generált és a felhasználó jelszavával védett jelszót. Ez szükséges a helyreállításhoz vészhelyzet esetén.
Ne felejtse el a jelmondat-figyelmeztetést Lássuk, hogyan lehet visszaállítani. Tegyük fel, hogy a jelszó nincs rögzítve, és a helyreállítás egy Live CD-ről történik. Feltételezzük, hogy az FS fel van szerelve. Lépjen a home/.ecryptfs/rom/.ecryptfs könyvtárba, és írja be a következő parancsot:
dm-verify
A dm-verify modul a blokkeszközök integritásának ellenőrzésére szolgál. Az ellenőrzés egy hash-fa segítségével történik, ahol a „levelek” a blokkok hash összegei, az „ágak” pedig a „levelek” halmazainak hash összegei. Így egy blokkeszköz (legyen az partíció vagy lemez) ellenőrzéséhez elegendő csak egy ellenőrző összeget ellenőrizni.
Ezt a mechanizmust (a digitális aláírással együtt) egyes Android-eszközök a módosítások elleni védelemre használják rendszerpartíciók, valamint a Google Chromium OS rendszerben.
KÖVETKEZTETÉS
A Linux valóban jó néhány eszközt tartalmaz az információk kriptográfiai védelmére. A leírt három eszköz közül legalább egy jelen van minden modernben Linux disztribúciók. De mit válasszunk?
dm-crypt/LUKS olyan esetekben kell használni, amikor lehetőség van egy titkosított kötet gyors letiltására, és ha nincs szükség biztonsági mentésre, vagy más módon minősítettek. Ebben az esetben ezt a döntést több mint hatékony, különösen, ha figyelembe vesszük, hogy tetszőleges egymásba ágyazás és típus (például AES-Twofish-AES) sorozatában titkosíthat – ez egy igazi paradicsom
a paranoiásnak.
eCryptFS alkalmas olyan esetekben, amikor titkosított adatokat kell mentenie valahova - például a felhőbe. Meglehetősen erős titkosítást biztosít (bár az alapértelmezett 128 bites változat két bittel csökkentheti a biztonságot), és átlátható a végfelhasználó számára.
EncFS de - egy öregember körülbelül egy évtizeddel ezelőtt, még ősibb művek alapján. Jelenleg nem ajánlott az esetleges biztonsági rések miatt, de többplatformos eszközként használható a felhőkben lévő nem érzékeny adatok védelmére.
Ha ilyen eszközöket kell használnia, mindig emlékezzen arra, hogy a védelemnek átfogónak kell lennie.
Ne feledje, ennek a munkának a szerzője az általa használt lemezpartíciók titkosítási módszereiről beszél.
Ez a kézikönyv használ Linux dm-crypt (eszköz-leképező) a magon 2.6 . Titkosítjuk a részt /dev/sdc1, lehet bármilyen partíció, lemez, USB vagy létrehozott fájl elveszett. Itt fogjuk használni /dev/loop0, néz . eszközleképező címkét használ egy szakasz azonosítására, in ezt a példát sdc1, de lehet bármilyen más karakterlánc is.
: - Orosz
Az oldal aktív fejlesztése befejeződött
Ha van mit kiegészíteni, akkor egészítse ki a részeket új információkkal. A cikkben található elírásaink és hibáink biztonságosan szerkeszthetők, nem kell levélben jelenteni, kérjük, figyeljék stílus ezt az oldalt, és használjon szakaszelválasztókat (változó vastagságú szürke vonalak).
Sokan úgy gondolják, hogy nem kell titkosítania az adatait. A mindennapi életben azonban gyakran találkozunk olyan helyzetekkel, hogy „elveszett egy pendrive” vagy „javításra adták át a laptopot” stb. Ha az adatai titkosítva vannak, akkor egyáltalán nem kell aggódnia: senki sem teszi közzé az interneten, vagy más módon nem használja fel.
Telepítse a szükséges alkatrészeket:
# apt-get install cryptsetup/dev/sda2. Írjuk be a parancsot:
# cryptsetup létrehozása sda2_crypt /dev/sda2Ezt a parancsot titkosított kapcsolatot hoz létre a lemezünkkel. Katalógusban /dev/mapper egy új eszköz jelenik meg az általunk kért névvel: /dev/mapper/sda2_crypt, amelynek eléréséhez titkosított lemezelérést használunk. A LUKS esetében ez lenne a név /dev/mapper/sda2_crypt
Ha már volt fájlrendszer a lemezen, és arra szeretnénk adatokat menteni, akkor ezeket titkosítanunk kell a későbbi felhasználáshoz:
# dd if=/dev/sda2 of=/dev/mapper/sda2_cryptHa új lemezt hoz létre egy üres partíción, akkor formázhatja:
# mkfs.ext3 /dev/mapper/sda2_cryptKésőbb ezt a lemezt bárhová csatlakoztathatja:
# mount /dev/mapper/sda2_crypt /path/to/mount/pointEllenőrizze az adatok integritását (a szokásos módon, a legjobb, ha nem csatlakoztatott állapotban használja):
# fsck.ext3 /dev/mapper/sda2_cryptÉs még visszafejteni is, ha már nem akarunk titkosítást használni:
# dd if=/dev/mapper/sda2_crypt of=/dev/sda2A fenti lépéseket a LUKS szabvány szerint lehet elvégezni
Inicializáljuk a szakaszt:
cryptsetup luksFormat /dev/sda2Csatlakozunk a rendszerhez:
cryptsetup luksNyissa meg a /dev/sda2 sda2_crypt fájltFormázás:
mkfs.ext4 -v -L DATA /dev/mapper/sda2_cryptSzereljük:
mount /dev/mapper/sda2_crypt /mnt/dataA rendszerről szóló rész manuálisan letiltható
cryptsetup luksZárja be az sda2_crypt fájltA fájl erre a célra szolgál. crypttab.
A lemezünkre írja be a következő sort:
nano /etc/crypttab # névleképező eszközkulcs params/options # Standard szintaxis sda2_crypt /dev/sda2 none aes-cbc-plain:sha256 # és/vagy LUKS szabvány sda2_crypt /dev/sda2 nincs luksAlapértelmezés szerint a titkosítás a felhasználó által megadott jelszóval történik. Így minden alkalommal, amikor elindítja a számítógépet, a rendszer minden alkalommal jelszót fog kérni az egyes titkosított partíciók csatlakoztatásához. Még akkor is, ha ezek a szakaszok nincsenek regisztrálva az fstab-ban.
Ha manuálisan szeretnénk felszerelni, akkor adjuk hozzá a lehetőséget auto a "Beállítások/Opciók" mezőben.
Titkosított partíció manuális csatlakoztatása az /etc/crypttab fájlból származó adatok szerint
cryptdisks_start msda2_cryptÉs leállítás előre szerelt fs-sel.
cryptdisks_stop sda2_cryptHa az fs-t automatikusan fel szeretné csatolni a csatlakoztatott titkosított partícióra, adjon hozzá egy sort /etc/fstab
/dev/mapper/sda2_crypt /mnt/data ext4 alapértékek 0 0A LUKS szekció 8 különböző kulcsot támogat, amelyek mindegyike a saját nyílásába illeszkedik.
Tekintse meg a használt kulcsok listáját
cryptsetup luksDump /dev/sda2A LUKS-ban kétféle kulcs használható – kulcskifejezések és fájlok.
Hozzáadhat kulcsszót
cryptsetup luksAddKey /dev/sda2Hozzá lehet adni kulcsfájl(2048 bit), és állítsa be a hozzáférési jogokat.
dd if=/dev/urandom of=/root/ext2.key bs=512 count=4 cryptsetup luksAddKey /dev/sda2 /root/ext2.key chmod 400 /root/sda2.key cryptsetup -d /root/sda2.key luksNyissa meg a /dev/sda2 sda2_crypt fájltAz indításkor a kulcs segítségével történő csatlakozáshoz szerkessze az /etc/crypttab fájlt
nano /etc/crypttab sda2_crypt /dev/sda2 /root/sda2.key luksEltávolíthat egy összetett jelszót vagy kulcsot egy szakaszból
cryptsetup luksKillSlot /dev/sda2 1Senki sincs biztonságban a problémáktól, és néha vészhelyzetből kell hozzáférnie egy titkosított partícióhoz LiveCD lemez.
Indítjuk, csatlakoztatjuk a partíciót a rendszerhez, és csatoljuk az fs-t:
cryptsetup luksOpen /dev/sda2 sda2_crypt mount -t ext4 /dev/mapper/sda2_crypt /mnt/backupMunka után válassza le az fs-t, és válassza le a titkosított partíciót a rendszerről
umount /mnt/backup cryptsetup luksClose sda2_cryptHa a gyökérpartíció titkosított, akkor egy üzenet jelenik meg a leállításkor
a korai kriptolemezek leállítása... nem sikerültEz technikai hiba. Leállításkor először mindig a fájlrendszereket bontják le, és csak ezután szerelik le a partíciót. Ennek eredményeként kiderül, hogy a gyökér unmounted partíción található cryptsetup segédprogram már nem indítható el, amiről az INIT tájékoztat. Mankók nélkül ez a probléma nem oldható meg, mert. ehhez mérlegelnie kell a cryptsetup RAM lemezre való átvitelének lehetőségeit
Hasonló helyzet fordul elő gyökérpartíciót tartalmazó szoftveres RAID használatakor. 8)
Ebben hogyan kell titkosítási módszer leírása AES256, más módszerek is hasonlóképpen alkalmazhatók (a metódus nevét a megfelelőre cserélve). A következő csomagokra lesz szükségünk:
# apt-get install loop-aes-utils loop-aes-modules-`uname -r`jegyzet: ha olyan kernelt használ, amelyhez a szükséges loop-aes-modules nincs a tárolóban, akkor a következő parancsokkal telepítheti a modulokat:
# apt-get install modul-assistant loop-aes-source # modul-assistant a-i loop-aesTovább kezdeti szakaszban titkosítással előkészítjük a lemezt, hogy működjön vele.
Válasszuk ki a titkosítani kívánt lemez (vagy flash meghajtó) partícióját, pl. /dev/sda2. Írjuk be a parancsot:
#lostup -e AES256 -T /dev/loop0 /dev/sda2A parancs végrehajtása után minden hívás az eszközre /dev/loop0 titkosításra és titkosításra kerül, és átirányítja az eszközre /dev/sda2. Mostantól titkosított és titkosítatlan csatornáink is vannak a tárolóeszközhöz. Az adatok titkosítása a veszteség végrehajtásakor megadott jelszóval történik.
Most például formázhatjuk az eszközt:
# mkfs.ext3 /dev/loop0Felszerelhetjük:
# mount /dev/loop0 /path/to/mountletilthatjuk a titkosítást:
#lostup -d /dev/loop0és ami a legfontosabb: titkosíthatjuk a partíciót adatvesztés nélkül:
# dd if=/dev/sda2 of=/dev/loop0és dekódolni is, ha úgy döntünk, hogy a titkosítás nem a mi módszerünk:
# dd if=/dev/loop0 of=/dev/sda2Nos, a legjobb az egészben az, hogy ellenőrizhetjük a fájlrendszer integritását:
# fsck.ext3 /dev/loop0Ez a szolgáltatás nem érhető el minden partíciótitkosítási módszernél.
Ha már volt szakaszbejegyzése /dev/sda2 a tiédben /etc/fstab, akkor csak opciókat kell hozzáadnia, és ha nem, akkor írjon valami ilyesmit:
/dev/sda2 /path/to/mount ext3 loop,encryption=AES256 0 0Most betöltéskor operációs rendszer a csatlakoztatáshoz jelszót kell megadnia.
Ha nem szeretné, hogy a letöltési folyamatot megszakítsa egy jelszókérés, akkor további lehetőségeket adhat hozzá auto,felhasználó jegyzőkönyvbe /etc/fstab:
/dev/sda2 /path/to/mount ext3 loop,encryption=AES256,noauto,user 0 0Természetesen manuálisan (vagy szkriptből) is csatlakoztatható:
# mount /dev/sda2 /elérési út/mount -o loop,encryption=AES256Néha több szakaszt szeretne titkosítani egyidejűleg adatokkal, de azért, hogy ne adjon meg egy tengernyi jelszót mindegyikhez hegy. Például van egy pendrive, amelyet otthonról a munkahelyére visz magával, egy hordozható merevlemez stb. Vagy csak néhány partíció/merevlemez.
Tegyük fel, hogy van egy titkosított partíciónk /dev/sda2, amelyet minden rendszerindításkor felcsatolunk a könyvtárba /mnt1. Megjelent új merevlemez /dev/sdb1és azt akarjuk, hogy automatikusan fel legyen csatolva a könyvtárba mnt2 az első felszerelésekor. Természetesen létrehozhat közös rendszer valami ilyesmin LVM, de járhatsz az egyszerűbb úton is:
beírni fstab mint a következő sor:
/dev/sda2 /mnt1 ext3 noatime,exec,loop,encryption=AES256 0 0A rendszer a rendszerindításkor a pontokat ugyanabban a sorrendben csatlakoztatja, mint ahogyan az itt leírtak fstab, tehát ha az első partíció nincs csatlakoztatva, akkor a második partíció csatlakoztatásának kulcsa elérhetetlen marad, és a második partíció sem lesz csatlakoztatva.
A jelszó tárolása: egyszerű szöveg ez persze nem túl szép, de egy titkosított partíción van tárolva (ami lecsatolható). Használhatja helyette gpg-key, de ez nem ad nagy biztonságot (ha már el tudják lopni a kulcsot, akkor nem lesz nagy különbség, hogy mi lesz ez a kulcs), titkosítási lehetőség gpg-ban leírt kulcs ember elveszett, itt csak egy példát mondok a felvételre fstab:
/dev/sda2 /mnt1 ext3 noatime,exec,loop,encryption=AES256 0 0A támogatott titkosítási algoritmusokkal kapcsolatos további információkért lásd: ember elveszett, láthatja a többi programlehetőség leírását is elveszett.
Ha problémái vannak az AES-modulok telepítésével, olvassa el a csomaghoz mellékelt dokumentációt loop-aes-source.
Amikor root partíciót telepít egy titkosított lemezre, a GRUB hibákat jeleníthet meg a főmenüben. Ez azért történik, mert a /usr/share/grub/unicode.pf2 szabványos betűtípus nem érhető el. A betűtípus másolása
cp /usr/share/grub/unicode.pf2 /boot/grub/Adja meg a beállítást
nano /etc/default/grub GRUB_FONT=/boot/grub/unicode.pf2A beállítás alkalmazása:
update-grubA TrueCrypt már nem karbantartott, de a dm-crypt és a LUKS nagyszerű nyílt forráskódú lehetőség. forráskód, amely lehetővé teszi a titkosított adatok titkosítását és használatát.
Az adatbiztonság az egyik legnagyobb gond az internethasználók körében. Nagyon gyakoriak lettek a weboldalakról történő adatlopásról szóló hírek, de az adatok védelme nem csak a weboldalak felelőssége, mi, végfelhasználók is sokat tehetünk saját biztonságunk érdekében. Például csak néhány példa az erős jelszavak használata, a számítógépeinken található merevlemezek titkosítása és a biztonságos kapcsolatok használata. Különösen a titkosítás merevlemez van a jó értelemben biztonság – nemcsak az adatait a hálózaton keresztül ellopni próbáló trójaiak ellen védi meg, hanem a fizikai támadásoktól is.
Idén májusban ismerték meg a TrueCrypt alkalmazás fejlesztését eszköz nyílt forráskódú szoftver lemeztitkosításhoz. Amint azt sokan tudják, ez volt az egyik nagyon megbízható eszköz a meghajtók titkosítására. Szomorú látni, hogy egy ilyen kaliberű eszköz eltűnik, de akkora a nyílt forráskódú világ nagyszerűsége, hogy számos más nyílt forráskódú eszköz is segíthet a biztonság elérésében a lemeztitkosítással, amely szintén rengeteg konfigurációs beállítással rendelkezik. Ezek közül kettőt - dm-crypt és LUKS - tekintünk TrueCrypt alternatívák Linux platformhoz. Kezdjük a dm-crypt, majd a LUKS gyors áttekintésével.
Ez alapvető információ a LUKS-t használó eszközről, amely jelzi a használt titkosítást, a titkosítási módot, a hash algoritmust és egyéb kriptográfiai adatokat.
A dm-crypt alkalmazás neve a device mapper-crypt (titkosítás eszköz leképezésekor) rövidítése. Ahogy a neve is sugallja, egy eszközleképezési keretrendszeren alapul. Linux kernelek, amelynek célja a blokkeszközök leképezése magasabb szintű virtuális blokkeszközökhöz. Az eszközök feltérképezésekor számos kernelfunkciót használhat, mint például a dm-cache (hibrid köteteket hoz létre), a dm-verity (a blokkok integritásának ellenőrzésére szolgál, a Chrome OS része) és a nagyon népszerű Docker. A kriptográfiai célokra a dm-crypt a Linux Kernel Crypto API keretrendszert használja.
Összefoglalva tehát, a dm-crypt alkalmazás egy kernel szintű titkosítási alrendszer, amely transzparens lemeztitkosítást kínál: ez azt jelenti, hogy a fájlok a lemez felcsatolása után azonnal elérhetőek – a végfelhasználó számára nincs látható késés. A dm-crypt használatával történő titkosításhoz egyszerűen megadhatja az egyik szimmetrikus titkosítást, a titkosítási módot, a kulcsot (bármilyen méret megengedett), az IV-generálási módot, majd létrehozhat egy új blokkeszközt a /dev fájlban. Most, amikor erre az eszközre ír, titkosítás történik, olvasáskor pedig visszafejtésre kerül. A szokásos módon csatlakoztathat fájlrendszert erre az eszközre, vagy használhatja a dm-crypt eszközt egyéb konstrukciók, például RAID vagy LVM kötetek létrehozására. A dm-crypt leképezési táblázata a következőképpen van beállítva:
Itt a start-szektor értéke jellemzően 0, a size értéke az eszköz mérete szektorokban, a célnév pedig az a név, amelyet a titkosított eszköznek kíván adni. A cél-leképezési táblázat a következő részekből áll:
Ahogy az előző lépésben láttuk, a dm-crypt alkalmazás képes önállóan titkosítani/visszafejteni az adatokat. De van néhány hátránya – ha közvetlenül a dm-crypt-et használod, akkor nem hoz létre metaadatokat a lemezen, és ez nagy probléma lehet, ha biztosítani akarod a kompatibilitást a különböző Linux disztribúciók között. Ezenkívül a dm-crypt alkalmazás nem támogatja a több kulcs használatát, míg a való életben nagyon fontos több kulcs használata.
Ezen okok miatt született meg a LUKS (Linux Unified Key Setup) módszertana. A LUKS a Linux titkosítási szabványa. merevlemezek a szabványosítás pedig lehetővé teszi a különböző disztribúciók közötti átjárhatóságot. Több kulcs és jelmondat is támogatott. Ennek a szabványosításnak a részeként a titkosított adatokhoz egy LUKS-fejléc kerül, és ez a fejléc tartalmazza a konfigurációhoz szükséges összes információt. Ha van ilyen fejléc adatokkal, akkor a felhasználók könnyen átválthatnak bármilyen más terjesztésre. A dm-crypt projekt jelenleg a LUKS használatát javasolja a lemeztitkosítás beállításának preferált módjaként. Nézzük meg, hogyan kell telepíteni a cryptsetup segédprogramot, és hogyan lehet vele LUKS-alapú köteteket létrehozni.
A dm-crypt által használt kernel szintű funkcionalitás már minden Linux disztribúcióban elérhető; csak interfészre van szükségünk hozzájuk. A cryptsetup segédprogramot fogjuk használni, amely lehetővé teszi kötetek létrehozását a dm-crypt, a LUKS szabvány és a jó öreg TrueCrypt alkalmazás használatával. A cryptsetup Debian/Ubuntu disztribúciókra való telepítéséhez a következő parancsokat használhatja:
$ sudo apt-get frissítés$ sudo apt-get install cryptsetup
Az első parancs szinkronizálja a rakétaindex fájlokat a tárolóik tartalmával: információkat kap legújabb verziói minden elérhető csomag. A második parancs letölti és telepíti a cryptsetup csomagot a számítógépére. Ha az RHEL/Fedora/CentOS disztribúciót használja, a yum paranccsal telepítheti a cryptsetup segédprogramot.
$ yum telepítse a cryptsetup-luks-t
Most, hogy a cryptsetup segédprogram sikeresen telepítve van, létre kell hoznunk egy célfájlt, amely a LUKS tárolót fogja tárolni. Noha egy ilyen fájl létrehozásának számos módja van, számos feltételnek kell teljesülnie a létrehozás során:
A fenti feltételeknek megfelelő fájl létrehozásában a dd parancs segíthet, bár viszonylag lassan fog működni. Csak használja a bemenetként megadott /dev/random speciális eszközfájllal és a kimenetként megadandó célfájllal. Egy példaparancs így néz ki:
$ dd if=/dev/random of=/home/nitish/basefile bs=1M count=128
Ezzel létrehoz egy 128 MB-os basefile fájlt a /home/nitish könyvtárban. Azonban kérjük, vegye figyelembe, hogy ennek a parancsnak a végrehajtása sokáig tarthat; szakértőnk által használt rendszerben egy órát vett igénybe.
A célfájl létrehozása után létre kell hoznia egy LUKS szakaszt ebben a fájlban. Ez a szakasz szolgál alaprétegként, amelyre az összes adattitkosítás épül. Ezenkívül ennek a szakasznak a fejléce (LUKS-fejléc) minden olyan információt tartalmaz, amely a más eszközökkel való kompatibilitáshoz szükséges. LUKS partíció létrehozásához használja a cryptsetup parancsot:
$ cryptsetup -y luksFormat /home/nitish/basefile
Miután hozzájárult ahhoz, hogy az alapfájlban lévő adatok véglegesen törlésre kerüljenek, írja be a jelszót, majd erősítse meg, a LUKS partíció létrejön. Ezt a következő fájlparanccsal ellenőrizheti:
$filebasefile
Felhívjuk figyelmét, hogy az itt megadott kifejezést az adatok visszafejtésére használjuk. Nagyon fontos megjegyezni és biztonságos helyen tárolni, mert ha elfelejti, akkor szinte biztosan elveszik a titkosított partíción lévő összes adat.
Az előző lépésben létrehozott LUKS-tároló most fájlként érhető el. Példánkban ez a /home/nitish/basefile. A cryptsetup segédprogram lehetővé teszi egy LUKS-tároló független eszközként történő megnyitását. Ehhez először rendelje hozzá a tárolófájlt az eszköz nevéhez, majd csatlakoztassa az eszközt. A megjelenítési parancs így néz ki:
Sikeres belépés után jelmondat az előző lépésben létrehozott LUKS-tároló a kötet1-hez lesz hozzárendelve. Valójában az történik, hogy a fájlt helyi hurokos eszközként nyitják meg, így a rendszer többi része mostantól úgy kezelheti a fájlt, mintha valódi eszköz lenne.
A LUKS tárolófájl mostantól normál eszközként is elérhető a rendszeren. Mielőtt normál műveletekhez használhatnánk, formáznunk kell, és fájlrendszert kell létrehoznunk rajta. Bármilyen fájlrendszert használhat, amelyet a rendszer támogat. Példámban az ext4-et használtuk, mivel ez a Linux rendszerek legújabb fájlrendszere.
$ mkfs.ext4 -j /dev/mapper/volume1
Miután az eszközt sikeresen formáztuk, a következő lépés a csatlakoztatása. Először létre kell hoznia egy csatolási pontot, lehetőleg /mnt-ben (józan ész).
$ mkdir /mnt/files
Most szereljük fel:
A keresztellenőrzéshez használja a df –h parancsot – a „/dev/mapper/volume1” eszközt fogja látni a csatlakoztatott eszközök listájának végén. Látható, hogy a LUKS fejléc már elfoglal némi helyet a készülékben.
Ennek a lépésnek köszönhetően mostantól ext4 fájlrendszerű LUKS eszközt is használhat. Csak használja ezt a fájltároló eszközt – minden, amit erre az eszközre ír, titkosítva lesz, és minden, amit olvas róla, visszafejtésre kerül, és megjelenik Önnek.
Számos lépést követtünk annak érdekében, hogy elérjük ezt az eredményt, és ha nem vagy teljesen tisztában az egész működésével, akkor valószínűleg összezavarodsz azzal kapcsolatban, hogy mit kell csak egyszer megtenni (a telepítéshez szükséges), és azt meg kell tenni rendszeresen titkosítás használatakor. Tekintsük a következő forgatókönyvet: sikeresen végrehajtotta az összes fenti lépést, majd kikapcsolta a számítógépet. Másnap, amikor elindítja a számítógépet, nem találja a csatlakoztatott eszközt – hova tűnt? Mindezek kezeléséhez szem előtt kell tartani, hogy a rendszer elindítása után fel kell szerelni a LUKS tárolót, és le kell szerelni a számítógép leállítása előtt.
A LUKS-fájl eléréséhez minden alkalommal, amikor bekapcsolja a számítógépet, kövesse az alábbi lépéseket, majd biztonságosan zárja be a fájlt a számítógép kikapcsolása előtt:
Nyissa meg a LUKS fájlt (azaz /home/nitish/basefile), és írja be a jelszót. A parancs így néz ki:
$ cryptsetup luks Nyissa meg a /home/nitish/basefile kötet1
A fájl megnyitása után csatolja be (ha nem csatlakozik automatikusan):
$ mount /dev/mapper/volume1 /mnt/files
Most már használhatja a csatlakoztatott eszközt normál lemezként, és adatokat olvashat vagy írhat rá.
Ha elkészült, válassza le az eszközt az alábbiak szerint:
$ umount /mnt/files
A sikeres leválasztás után zárja be a LUKS fájlt:
$ cryptsetup luksA kötet1 bezárása
A LUKS-tárolóban tárolt adatok legtöbb elvesztése a LUKS-fejléc vagy a kulcsnyílások megsérülése miatt következik be. Amellett, hogy a LUKS fejlécek akár a fejlécmemória véletlen felülírása miatt is megsérülhetnek, valós körülmények Az is előfordulhat, hogy a merevlemez teljesen meghibásodik. A legjobb mód az ilyen problémák elleni védekezés biztonsági mentés. Lássuk, milyen biztonsági mentési lehetőségek állnak rendelkezésre.
A LUKS fejlécfájl biztonsági mentéséhez adja meg a luksHeaderBackup paramétert a parancsban:
$ sudo cryptsetup luksHeaderBackup /home/nitish/basefile --header-backup-file /home/nitish/backupfile
Vagy ha biztonsági másolatból szeretne visszaállítani egy fájlt, adja meg a luksHeaderRestore paramétert a parancsban:
$ sudo cryptsetup luksHeaderRestore /home/nitish/basefile --header-backup-file /home/nitish/backupfile
Az isLuks paraméterrel ellenőrizheti a LUKS fejlécfájlt, és ellenőrizheti, hogy az Ön által kezelt fájl egy tényleges LUKS-eszköznek felel meg.
$ sudo cryptsetup -v isLuks /home/nitish/basefile
Már láttuk, hogyan készíthet biztonsági másolatot a LUKS fejlécfájlokról, de a LUKS fejléc biztonsági mentése nem igazán véd a teljes lemezhiba ellen, ezért a teljes partícióról biztonsági másolatot kell készítenie a következő cat paranccsal:
$ cat /home/nitish/basefile > basefile.img
Van néhány egyéb beállítás, amely hasznos lehet a dm-crypt LUKS titkosítás használatakor. Vessünk egy pillantást rájuk.
A LUKS fejléc kiíratásához a cryptsetup parancs a luksDump opcióval rendelkezik. Lehetővé teszi, hogy pillanatképet készítsen a használt eszköz LUKS fejlécfájljáról. Egy példaparancs így néz ki:
$ cryptsetup luksDump /home/nitish/basefile
A cikk elején említettük, hogy a LUKS több kulcsot is támogat. Lássuk ezt működés közben egy új kulcsnyílás hozzáadásával ( megjegyzés per.: kulcsnyílás - kulcsrakész hely):
$ cryptsetup luksAddKey -- Key-slot 1 /home/nitish/basefile
Ez a parancs kulcsot ad az 1-es számú kulcsnyíláshoz, de csak az aktuális jelszó beírása után (a 0-s kulcsnyílásban található kulcs). Összesen nyolc kulcsnyílás van, és bármilyen kulccsal visszafejtheti az adatokat. Ha a második kulcs hozzáadása után kiírja a fejlécet, látni fogja, hogy a második kulcsnyílás foglalt.
A kulcsnyílásokat a következőképpen távolíthatja el:
$ cryptsetup luksRemoveKey /home/nitish/basefile
Ezzel eltávolítja a legmagasabb nyílásszámú kulcsnyílást. Ügyeljen arra, hogy ne törölje az összes helyet, különben adatai véglegesen elvesznek.
A saját könyvtár titkosítása megbízható védelmet nyújt a merevlemezen vagy más adathordozón tárolt adatok számára. A titkosítás különösen fontos laptopokon, többszörös hozzáférésű számítógépeken és bármilyen más környezetben. A Linux Mint telepítésekor elérhető a kezdőkönyvtár-titkosítás.
A fő bukás teljes titkosítás home directory az, hogy a titkosított adatokat tartalmazó könyvtárat a csatolási ponton kívülre kell "mozgatni".
A teljesítmény enyhén csökken, legalábbis még nem használ SWAP-ot. A SWAP egy speciális lemezpartíció vagy fájl, amelybe az operációs rendszer áthelyezi a RAM egyes blokkjait, ha nincs elég RAM az alkalmazások futtatásához. A SWAP akkor is titkosítva van, ha úgy dönt, hogy titkosítja a saját könyvtárát a telepítőben, és a hibernált mód nem működik.
Ne titkosítsa a SWAP-ot titkosított kezdőkönyvtárral – ez potenciálisan veszélyes, mivel a titkosított fájlokból tiszta szöveges adatok lehetnek – a titkosítás lényege elvész. A Linux Mint 14-es verziójától kezdve a telepítés során lehetőség van a teljes lemez titkosításának kiválasztására. Ez az opció a legalkalmasabb személyes adatok hordozható eszközökön történő tárolására (amelyeknek általában csak egy felhasználójuk van).
A Linux Mint rendelkezik egy „Jelszavak és kulcsok” vagy Seahorse nevű beépített segédprogrammal. Lehetőségeit kihasználva a felhasználó az ebben az operációs rendszerben elérhető összes kulccsal, jelszóval és tanúsítvánnyal működhet.
Lényegében a Seahorse egy alkalmazás a GNOME-hoz (a GNOME egy ingyenes asztali környezet Unix-szerű operációs rendszerekhez), amely a GnuPG (információk titkosítására és digitális aláírások létrehozására szolgáló ingyenes program) front-endje, és a titkosítás kezelésére szolgál. kulcsokat és jelszavakat. A GNOME kulcstartó helyett jött, amelyet teljesen lecseréltek a GNOME 2.22-ben, bár a GNOME 2.18-ban bejelentették. Lehetővé teszi az összes művelet végrehajtását, amelyet korábban a parancssorban kellett végrehajtania, és egyetlen felület alatt egyesíteni őket:
kezelje biztonságát munkakörnyezet valamint OpenPGP és SSH kulcsok;
fájlok és szöveg titkosítása, bővítése és ellenőrzése;
add hozzá és ellenőrizd digitális aláírások dokumentumokhoz;
szinkronizálja a kulcsokat a kulcsszerverekkel;
kulcsok létrehozása és közzététele;
kulcsfontosságú információk lefoglalása;
hozzáadhatja a képeket bármely támogatott GDK-ban OpenGPG fényképes azonosítóként;
A TrueCrypt meglehetősen felhasználóbarát grafikus felülettel rendelkezik, de sajnos a fejlesztők vezetékesen integrálták a Nautilus fájlkezelőt a kódba.
Az adatok titkosítására különféle módszerek használhatók.
Először létre kell hoznia egy úgynevezett tárolót, amely titkosításra szánt fájlmappákat tartalmaz. A tároló lehet tetszőleges nevű fájl, vagy akár egy teljes lemezpartíció is. A tároló eléréséhez meg kell adnia egy jelszót, és létrehozhat egy kulcsfájlt (opcionális), amelyet az információk titkosítására használunk. A konténer korlátozott.
Titkosított partíciók/fájlok létrehozása
Kulcsfájl létrehozása:
truecrypt -create-keyfile /home/user/test/file , ahol a fájl a kulcsfájl neve.
Tároló létrehozása, jelen esetben egy szakasz:
sudo truecrypt -k /home/user/test/file -c /dev/sda9
A /dev/sda9 partíció helyett teljesen lehetséges egy fájl megadása, például /home/user/test/cryptofile, de ebben az esetben meg kell adni a méretét, ez a -size= paranccsal történik. 5G paraméter a -c paraméter előtt. Ez a példa egy 5 GB-os kriptofájlt hoz létre. Néha a TrueCrypt csak bájtban fogadja el a méretet, 5 GB esetén vagy előre kiszámolhatod az értéket és megadhatod a -size=5368709120 értéket, vagy így írhatod: -size=`echo 1024^3*5 | bc`.
A titkosításhoz egy már elkészített kulcsfájlt használunk.
Létrehozáskor a rendszer kéri, hogy válassza ki a tároló típusát (normál / rejtett), a fájlrendszert (FAT, ext2 / 3/4 vagy FS nélkül), ebben a példában az FS használata nélküli módot választottuk ki. A rendszer felajánlja a titkosítási algoritmusok (például AES) és a hash algoritmusok (például SHA-1) kiválasztását is az adatfolyamok titkosításához.
A TrueCrypt az adatok menet közbeni titkosítására szolgál, vagyis a konténer felcsatolásával a szokásos módon dolgozhatunk a benne lévő fájlokkal (megnyitás/szerkesztés/bezárás/létrehozás/törlés), ami nagyon kényelmes.
Létrejött egy titkosított partíció/fájl. Most, ha a belső fájlrendszerét (a továbbiakban FS) a kívántra kell formáznia, tegye a következőket.
Válassza ki a kívánt partíciót a Truecrypt segítségével:
truecrypt -k /home/user/test/file /dev/sda9
Alapértelmezés szerint a létrehozott Truecrypt eszköz /dev/mapper/truecrypt0 lesz használatban. Az eszközhöz való hozzáféréssel módosíthatja például a fájlrendszert egy titkosított tárolóban. Ebben az esetben meg kell tenni.
sudo mkfs.ext4 -v /dev/mapper/truecrypt0
Ezzel az ext4 FS ebben a titkosított tárolóban készült.
Továbbá, mivel ez a tároló már „csatolva van” a /dev/mapper/truecrypt0 eszközhöz, csak be kell csatolni valamilyen könyvtárba. Ennek a beillesztési könyvtárnak már léteznie kell a rendszeren.
sudo mount /dev/mapper/truecrypt0 /mnt/crypto, ahol a /mnt/crypto az a könyvtár, amelybe a titkosított tároló fel van csatolva.
truecrypt -d
Most a kulcsfájl és a jelszó ismerete nélkül senki sem tudja elolvasni a rejtett információkat.
