Obecnie przechowywanie ważnych danych w przejrzysty sposób stało się bardziej niebezpieczne niż kiedykolwiek. I to nawet nie tyle ze względu na państwową inwigilację (jak chcą, to znajdą powód do narzekania itd.), ale ze względu na tych, którzy chcą ukraść te dane. Metod zabezpieczania informacji jest w zasadzie wiele, ale w artykule zostaną dokładnie opisane narzędzia kryptograficzne.
W przeciwieństwie do niektórych innych systemów operacyjnych, Linux posiada wiele narzędzi do kryptograficznej ochrony informacji - od szyfrowania korespondencji pocztowej po szyfrowanie plików i urządzeń blokowych. Interesuje nas szyfrowanie na poziomie systemów plików, plików i urządzeń blokowych. Na początek warto zrozumieć, na czym polega różnica. Szyfrowanie na poziomie systemu plików obejmuje warstwę między main system plików(o ile oczywiście sam system plików obsługuje szyfrowanie) i użytkownika.
Korzyść tego typu szyfrowanie - że klucze dla wszystkich użytkowników są różne. Wadą jest to, że jeśli włączysz szyfrowanie nazw plików, długość prawidłowej nazwy zmniejszy się, ponadto użytkownik może zapisać plik w innej lokalizacji na dysku, co automatycznie niweluje korzyści. I jeszcze jedno - nawet jeśli włączone jest szyfrowanie nazw, znaczniki czasu pozostaną takie same. Szyfrowanie urządzeń blokowych odbywa się na niższym poziomie, w systemie plików. Jednocześnie sam system plików oczywiście nie wie, że znajduje się na zaszyfrowanym woluminie.
Korzyści Ta metoda w przeciwieństwie do wad poprzedniego. Wadą jest to, że będziesz musiał wprowadzić hasło przy każdym uruchomieniu / zamontowaniu. Drugą wadą jest to, że jeśli w czasie wykonywania atakujący uzyska dostęp do plików na krypto-
teiner, wszystko - pisz zmarnowane. To jest właśnie ochrona przed atakami offline. Dodatkowo w zdecydowanej większości przypadków zapisywania kryptokontenera w chmurze będziesz musiał wgrać go całkowicie od nowa.
W artykule zostanie opisana konfiguracja następujących metod kryptoprotekcji:
dm-crypt/LUKS- stworzenie kryptokontenera z wykorzystaniem device-mapper i jądra CryptoAPI;
eCryptfs- szyfrowanie na poziomie systemów plików;
EncFS- podobny do powyższego, ale nie wymaga ładowania modułów jądra.
DM-CRYPT/LUKS
Istnieją dwa rodzaje ustawień dm-crypt - zwykły i LUKS. Różnica polega na tym, że w przypadku korzystania z LUKS-a na początku wolumenu kryptograficznego znajdują się metadane, które umożliwiają korzystanie z wielu kluczy i ich zmianę. Jednocześnie obecność takiego tytułu w niektórych przypadkach sama w sobie jest kompromitacją – jednak w większości podobne przypadki będzie kompromitującym obszarem o wysokim stopniu entropii. Konfigurowanie zwykłego woluminu dm-crypt z plikiem klucza i hasłem Zobaczmy, jak skonfigurować kombinację zwykłego wolumenu dm-crypt zaszyfrowanego z plikiem klucza zawartym w kontenerze LUKS. Na początek warto zdecydować, jak dokładnie zostaną umieszczone sekcje. Istnieją trzy główne opcje:
tylko wolumin kryptograficzny;
najpierw wolumin kryptograficzny, a następnie LVM na nim;
najpierw wolumin kryptograficzny, następnie RAID, a następnie LVM.
I wszelkiego rodzaju kombinacje. Spróbujmy drugiej opcji. Przede wszystkim stwórzmy kontener LUKS do przechowywania pliku klucza w celu użycia tego pliku wraz z hasłem. W takim przypadku prawdopodobieństwo kryptoanalizy woluminu zaszyfrowanego zwykłym dm-crypt jest zmniejszone:
# dd if=/dev/zero of=/root/key.luks bs=512 count=2057 # cryptsetup --align-payload=1 luksFormat /root/key.luks # cryptsetup luksOpen /root/key.luks cryptokey # dd if=/dev/urandom of=/dev/mapper/cryptokey |
Pierwsza komenda przygotowuje plik kontenera, druga tworzy ten kontener, trzecia łączy, czwarta generuje kluczowe informacje. Warto zauważyć, że opcja --align-payload=1 jest potrzebna, aby rozmiar metadanych LUKS-a nie wynosił 4096 512-bajtowych bloków, a tylko 2056. Tym samym pozostaje 512 bajtów na rzeczywiste kluczowe informacje.
Następnie przystępujemy do tworzenia kryptotomu. W tym momencie możesz opcjonalnie wypełnić dysk danymi pseudolosowymi, aby utrudnić kryptoanalizę, jeśli w ogóle. Następnie możesz już utworzyć kryptotom. Polecenie do tego jest następujące (oczywiście w innych przypadkach identyfikatory mogą się różnić, więc musisz być ostrożny):
# cryptsetup --cipher=serpent-xts-plain64 --offset=0--key-file=/dev/mapper/cryptokey --key-size=512 open --type=plain/dev/disk/by-id/ ata-VBOX_HARDDISK_VB05eadebe-f25e8d59 crypto0 |
W razie potrzeby powtórz to samo polecenie na innych urządzeniach wymagających szyfrowania. Następnie stworzymy LVM na kryptotomach i na nim FS:
Stwórzmy plik /etc/initramfs-tools/hooks/cryptokeys o następującej zawartości (pominięto część serwisową skryptu):
A plik /etc/initramfs-tools/scripts/local-top/cryptokeys (ponownie część serwisowa
lub pominięte):
# <...> modprobe -b dm_crypt chwila! (/sbin/cryptsetup luksOpen /etc/crypto/key .luks klucz kryptograficzny /dev/disk/by-id/ata-VBOX_HARDDISK_VB05eadebe-f25e8d59 crypto0 && /sbin/cryptsetup plainOpen -- klucz - plik =/dev/mapper/cryptokey /dev/disk/by-id/ata-VBOX_HARDDISK_VBc2414841-cfeccde5 crypto1 && /sbin/cryptsetup luksZamknij klucz kryptograficzny ) ; Do echo „Spróbuj ponownie . . . ” zrobione |
Te dwa pliki muszą być wykonywalne. Następnie tworzymy initrd:
# update-initramfs -u -k all -v |
Przy następnym uruchomieniu zostaniesz poproszony o podanie hasła do kontenera LUKS. W przypadku korzystania ze zwykłego dm-crypt jest jeszcze jedna możliwość - wspólna dolna warstwa, która pozwala zrobić coś na wzór ukrytych woluminów TrueCrypt. Łatwiej podać przykład:
# cryptsetup --cipher=serpent-xts-plain64 --offset=0--size=2097152 --shared open --type=plain/dev/disk/by-id/ata-VBOX_HARDDISK_VBcda8398f-f1f1deec crypto # cryptsetup --cipher=serpent-xts-plain64 --offset=2097152--size=2097152 --shared open --type=plain/dev/disk/by-id/ata-VBOX_HARDDISK_VBcda8398f-f1f1deec crypto_shared |
Rozmiar i przesunięcie są określone w blokach 512-bajtowych.
Zaawansowane funkcje LUKS
Przyjrzyjmy się również zaawansowanym funkcjom korzystania z kontenerów LUKS. Obejmują one zmianę kluczy. Jest to konieczne podczas kompromitowania lub tworzenia zasad ponownego klucza. Pierwszym krokiem w tym celu jest utworzenie kopii zapasowej nagłówka kontenera. Spadam
normalnie po zmianie klucza można go zniszczyć. Robimy to oczywiście na niezaszyfrowanej partycji:
Na koniec dodaj nowy klucz do systemu:
Rozważ procedurę przywracania woluminów LUKS. Najłatwiejszą opcją jest oczywiście kopia nagłówka. W takim przypadku do przywrócenia wymagane jest tylko jedno polecenie:
Najdłuższa ciągła linia będzie kluczem głównym. Należy go skopiować do pliku na niezaszyfrowanym wolumenie, a następnie przekonwertować do postaci binarnej (wcześniej należy upewnić się, że w dany plik nie ma
znaki końca linii):
ENCFS
Zobaczmy, jak skonfigurować EncFS do automatycznego montowania przy logowaniu. Najpierw zainstalujmy niezbędne pakiety:
Podczas konfiguracji w trybie eksperta zostanie zadanych szereg pytań: typ szyfru (dostępne są tylko AES i Blowfish), rozmiar klucza, rozmiar bloku, jak zaszyfrować nazwy plików - szyfr blokowy (który całkowicie ukrywa nazwę pliku, w tym długość ), strumieniowego (który szyfruje jak najbliższą długością, co czasem jest wygodne, jeśli nazwy są zbyt długie, a przy użyciu szyfru blokowego istnieje dość duże prawdopodobieństwo przekroczenia maksymalnej dopuszczalnej długości) lub będzie całkowicie nieobecny… W koniec, zostaniesz poproszony o podanie hasła, które musi pasować do hasła użytego do wprowadzenia, w przeciwnym razie automatyczne montowanie nie będzie działać.
Następnie musisz edytować plik /etc/security/pam_encfs.conf:
Oraz plik /etc/fuse.conf:
I dodaj użytkownika do grupy bezpieczników:
$ sudo usermod -a -G fuse $UŻYTKOWNIK |
Po wylogowaniu-logowaniu katalog prywatny może służyć jako miejsce do przechowywania danych osobowych. Warto jednak zauważyć, że audyt ujawnił pewne (dość poważne) problemy z bezpieczeństwem, przez które ten system Zdecydowanie odradza się używanie go do przechowywania naprawdę ważnych danych.
EKRYPTFS
Wiadomo, że eCryptFS jest używany przez Ubuntu jako domyślne narzędzie do ochrony katalogu domowego. Zobaczmy, jak to działa - utwórzmy ręcznie zaszyfrowany katalog. Zainstaluj pakiety:
Tworzenie eCryptFS
I zamontuj FS (podczas pierwszego montowania tworzone są wszystkie niezbędne metadane):
$ sudo mount -t ecryptfs /home/rom/ . sekret/dom/rom/tajemnica |
Zostanie zażądane hasło (tylko raz, ponowne wprowadzenie nie jest realizowane, co nie wygląda zbyt dobrze dobra decyzja, biorąc pod uwagę, że powinien być długi), wtedy zapyta o rodzaj szyfru (AES, Blowfish, 3DES, Twofish, CAST6 i CAST5), rozmiar klucza, zapyta czy zezwolić lub odrzucić niezaszyfrowane pliki w katalogu z zaszyfrowanymi, czy zaszyfrować nazwy plików... a na koniec zapyta czy na pewno chcemy zamontować i zapisać sygnaturę do konkretnego pliku. Pytanie nie jest tak głupie, jak mogłoby się początkowo wydawać: w tym oprogramowaniu przy braku podpisu nie ma możliwości odróżnienia prawidłowego hasła od błędnego.
Szyfrowanie katalogu domowego użytkownika
Podczas pierwszego uruchomienia może być konieczne zakończenie kilku procesów. Po zaszyfrowaniu należy natychmiast zalogować się jako użytkownik, po czym zostaniesz poproszony o wpisanie lub wydrukowanie hasła wygenerowanego do szyfrowania i chronionego z kolei hasłem użytkownika. Jest to konieczne do odzyskania w nagłych przypadkach.
Zapamiętaj ostrzeżenie dotyczące hasła Zobaczmy, jak go przywrócić. Załóżmy, że hasło nie zostało zapisane, a odzyskiwanie pochodzi z Live CD. Zakłada się, że FS jest zamontowany. Przejdź do katalogu home/.ecryptfs/rom/.ecryptfs i wpisz polecenie:
dm-zweryfikuj
Moduł dm-verify przeznaczony jest do sprawdzania integralności urządzeń blokowych. Weryfikacja odbywa się za pomocą drzewa mieszającego, gdzie „liście” to sumy haszujące bloków, a „gałęzie” to sumy haszujące zbiorów „liści”. Zatem, aby zweryfikować urządzenie blokowe (czy to partycję, czy dysk), wystarczy sprawdzić tylko jedną sumę kontrolną.
Mechanizm ten (wraz z podpisem cyfrowym) jest używany w niektórych urządzeniach z systemem Android w celu ochrony przed modyfikacją partycje systemowe, a także w Google Chromium OS.
WNIOSEK
Linux zawiera rzeczywiście sporo narzędzi do kryptograficznej ochrony informacji. Z trzech opisanych środków przynajmniej jeden jest obecny we wszystkich współczesnych Dystrybucje Linuksa. Ale co wybrać?
dm-crypt/LUKS należy używać w przypadkach, gdy możliwe jest szybkie wyłączenie zaszyfrowanego woluminu i gdy kopie zapasowe nie są potrzebne lub są w inny sposób sklasyfikowane. W tym przypadku ta decyzja więcej niż wydajny, zwłaszcza biorąc pod uwagę, że można szyfrować w kaskadzie dowolnego zagnieżdżania i typu (na przykład AES-Twofish-AES), - prawdziwy raj
dla paranoika.
eCryptFS odpowiedni w przypadkach, gdy trzeba gdzieś zapisać zaszyfrowane dane - na przykład w chmurze. Zapewnia dość silne szyfrowanie (chociaż domyślny wariant 128-bitowy może obniżyć bezpieczeństwo o dwa bity) i jest przejrzysty dla użytkownika końcowego.
EncFS ale - starzec sprzed około dziesięciu lat, oparty na jeszcze bardziej starożytnych dziełach. Obecnie nie jest zalecane do użytku ze względu na potencjalne luki w zabezpieczeniach, ale może być używane jako wieloplatformowe narzędzie do ochrony niewrażliwych danych w chmurach.
Jeśli potrzebujesz korzystać z takich narzędzi, zawsze powinieneś pamiętać, że ochrona musi być kompleksowa.
Należy pamiętać, że autor tej pracy mówi o metodach szyfrowania partycji dysku, których sam używa.
Niniejsza instrukcja używa Linux dm-crypt (mapowanie urządzeń) na rdzeniu 2.6 . Zaszyfrujemy sekcję /dev/sdc1, może to być dowolna partycja, dysk, USB lub utworzony plik przegrana. Tutaj użyjemy /dev/loop0, Patrzeć . program do mapowania urządzeń używa etykiety do identyfikacji sekcji, w ten przykład sdc1, ale może to być dowolny inny ciąg.
: - Rosyjski
Aktywny rozwój strony zakończony
Jeśli jest coś do dodania, uzupełnij sekcje o nowe informacje. Nasze literówki i błędy w artykule można bezpiecznie edytować, nie ma potrzeby zgłaszania tego pocztą, prosimy o przestrzeganie stylizacja tę stronę i użyj separatorów sekcji (szarych linii o różnej grubości).
Wiele osób uważa, że nie trzeba szyfrować swoich danych. Jednak w życiu codziennym często spotykamy się z takimi sytuacjami, jak „zgubiono pendrive” lub „przekazano laptopa do naprawy” itp. Jeśli Twoje dane są zaszyfrowane, nie musisz się o to martwić: nikt nie opublikuje ich w Internecie ani nie wykorzysta w inny sposób.
Zainstaluj niezbędne komponenty:
# apt-get install cryptsetup/dev/sda2. Wpiszmy polecenie:
# cryptsetup tworzy sda2_crypt /dev/sda2To polecenie utworzy szyfrowane połączenie z naszym dyskiem. w katalogu /dev/mapper pojawi się nowe urządzenie o żądanej nazwie: /dev/mapper/sda2_crypt, do których uzyskujemy dostęp za pomocą szyfrowanego dostępu do dysku. W przypadku LUKS byłaby to nazwa /dev/mapper/sda2_crypt
Jeśli na dysku znajdował się już system plików i chcielibyśmy zapisać na nim dane, to musimy je zaszyfrować w celu ich późniejszego wykorzystania:
# dd if=/dev/sda2 of=/dev/mapper/sda2_cryptJeśli nowy dysk zostanie utworzony na pustej partycji, możesz go sformatować:
# mkfs.ext3 /dev/mapper/sda2_cryptPóźniej możesz zamontować ten dysk w dowolnym miejscu:
# mount /dev/mapper/sda2_crypt /ścieżka/do/montowania/punktuSprawdź integralność danych (jak zwykle najlepiej używać tylko w stanie niezamontowanym):
# fsck.ext3 /dev/mapper/sda2_cryptA nawet odszyfruj z powrotem, jeśli nie chcemy już używać szyfrowania:
# dd if=/dev/mapper/sda2_crypt of=/dev/sda2Powyższe kroki można wykonać zgodnie ze standardem LUKS
Inicjujemy sekcję:
cryptsetup luksFormat /dev/sda2Łączymy się z systemem:
cryptsetup luksOpen /dev/sda2 sda2_cryptFormatowanie:
mkfs.ext4 -v -L DANE /dev/mapper/sda2_cryptMontujemy:
zamontować /dev/mapper/sda2_crypt /mnt/dataSekcję można ręcznie wyłączyć na temat systemu
cryptsetup luksZamknij sda2_cryptPlik jest używany do tego celu. tabela krypt.
Dla naszego dysku napisz na nim następujący wiersz:
nano /etc/crypttab # name mapper device key params/options # Standardowa składnia sda2_crypt /dev/sda2 none aes-cbc-plain:sha256 # i/lub LUKS standard sda2_crypt /dev/sda2 none luksDomyślnie szyfrowane jest hasłem wprowadzonym przez użytkownika. W ten sposób za każdym razem, gdy uruchamiasz komputer, system za każdym razem pyta o hasło, aby połączyć każdą zaszyfrowaną partycję. Nawet jeśli te sekcje nie są zarejestrowane w fstab.
Jeśli chcemy zamontować ręcznie, dodaj opcję automatyczny w polu „Ustawienia/Opcje”.
Ręczne montowanie zaszyfrowanej partycji zgodnie z danymi z /etc/crypttab
cryptdisks_start msda2_cryptI zamykanie za pomocą wstępnie zamontowanego fs.
cryptdisks_stop sda2_cryptAby automatycznie zamontować system fs na podłączonej zaszyfrowanej partycji, dodaj linię do /etc/fstab
/dev/mapper/sda2_crypt /mnt/data ext4 domyślnie 0 0Sekcja LUKS obsługuje 8 różnych kluczy, z których każdy pasuje do własnego gniazda.
Zobacz listę używanych kluczy
cryptsetup luksDump /dev/sda2W LUKS-ie można stosować 2 rodzaje kluczy - frazy kluczowe i pliki.
Możesz dodać słowo kluczowe
cryptsetup luksAddKey /dev/sda2Mogę dodać plik klucza(2048 bitów) i ustawić do niego prawa dostępu.
dd if=/dev/urandom of=/root/ext2.key bs=512 count=4 cryptsetup luksAddKey /dev/sda2 /root/ext2.key chmod 400 /root/sda2.key cryptsetup -d /root/sda2.key luksOpen /dev/sda2 sda2_cryptAby połączyć się przy uruchamianiu za pomocą klucza, edytuj /etc/crypttab
nano /etc/crypttab sda2_crypt /dev/sda2 /root/sda2.key luksMożesz usunąć hasło lub klucz z sekcji
cryptsetup luksKillSlot /dev/sda2 1Nikt nie jest bezpieczny przed problemami, a czasami potrzebny jest dostęp do zaszyfrowanej partycji w sytuacji awaryjnej Dysk LiveCD.
Uruchamiamy, podłączamy partycję do systemu i montujemy fs:
cryptsetup luksOpen /dev/sda2 sda2_crypt mount -t ext4 /dev/mapper/sda2_crypt /mnt/backupPo pracy odmontuj fs i odłącz zaszyfrowaną partycję od systemu
umount /mnt/backup cryptsetup luksZamknij sda2_cryptJeśli partycja główna jest zaszyfrowana, po zamknięciu zostanie wyświetlony komunikat
zatrzymanie wczesnych dysków kryptograficznych... nie powiodło sięTo jest błąd techniczny. Podczas zamykania system plików jest zawsze najpierw demontowany, a dopiero potem odłączana jest partycja. W rezultacie okazuje się, że narzędzie cryptsetup znajdujące się na odmontowanej partycji root nie jest już dostępne do uruchomienia, o czym informuje nas INIT. Bez kul tego problemu nie da się rozwiązać, ponieważ. w tym celu należy rozważyć opcje przeniesienia cryptsetup na dysk RAM
Podobna sytuacja występuje w przypadku korzystania z programowej macierzy RAID zawierającej partycję główną. 8)
W tym jak opisana metoda szyfrowania AES256, inne metody można zastosować podobnie (zastępując nazwę metody odpowiednią). Będziemy potrzebować następujących pakietów:
# apt-get install loop-aes-utils loop-aes-modules-`uname -r`Notatka: jeśli używasz jądra, dla którego wymagane moduły loop-aes nie znajdują się w repozytorium, możesz zainstalować moduły za pomocą następujących poleceń:
# apt-get install module-assistant loop-aes-source # module-assistant a-i loop-aesNA etap początkowy przygotowujemy dysk do pracy z nim za pomocą szyfrowania.
Wybierzmy partycję dysku (lub pendrive’a), którą chcemy na przykład zaszyfrować /dev/sda2. Wpiszmy polecenie:
# losetup -e AES256 -T /dev/loop0 /dev/sda2Po wykonaniu tego polecenia wszystkie połączenia do urządzenia /dev/loop0 zostaną zaszyfrowane i zaszyfrowane, a następnie przekierowane na urządzenie /dev/sda2. Teraz mamy zarówno zaszyfrowane, jak i niezaszyfrowane kanały do urządzenia pamięci masowej. Dane są szyfrowane przy użyciu hasła, które podałeś podczas wykonywania Lostup.
Teraz możemy np. sformatować urządzenie:
# mkfs.ext3 /dev/loop0Możemy go zamontować:
# zamontować /dev/loop0 /ścieżka/do/montażumożemy wyłączyć szyfrowanie:
# losetup -d /dev/loop0a co najważniejsze możemy zaszyfrować partycję bez utraty danych:
# dd if=/dev/sda2 of=/dev/loop0a także odszyfrować, jeśli zdecydujemy, że szyfrowanie nie jest naszą metodą:
# dd if=/dev/loop0 of=/dev/sda2Cóż, najlepsze jest to, że możemy przeprowadzać kontrole integralności systemu plików:
# fsck.ext3 /dev/loop0Ta funkcja nie jest dostępna we wszystkich metodach szyfrowania partycji.
Jeśli masz już wpis w sekcji /dev/sda2 w Twoim /etc/fstab, to wystarczy dodać opcje, a jeśli nie, to napisz coś takiego:
/dev/sda2 /ścieżka/do/montażu pętli ext3,szyfrowanie=AES256 0 0Teraz podczas ładowania system operacyjny zostaniesz poproszony o podanie hasła do zamontowania.
Jeśli nie chcesz, aby proces pobierania został przerwany przez żądanie hasła, możesz dodać opcje automatyczny,użytkownik zarejestrowany /etc/fstab:
/dev/sda2 /ścieżka/do/montażu pętli ext3,szyfrowanie=AES256,noauto,użytkownik 0 0Oczywiście możesz zamontować ręcznie (lub ze skryptu):
# mount /dev/sda2 /path/to/mount -o loop,encryption=AES256Czasami chcesz zaszyfrować kilka sekcji z danymi jednocześnie, ale żeby nie wchodzić w morze haseł dla każdej uchwyt. Na przykład masz dysk flash, który nosisz z domu do pracy, przenośny dysk twardy itp. Lub tylko kilka partycji / dysków twardych.
Powiedzmy, że mamy zaszyfrowaną partycję /dev/sda2, który montujemy do katalogu przy każdym uruchomieniu /mnt1. Pojawił się nowy dysk twardy /dev/sdb1 i chcemy, aby był automatycznie montowany w katalogu mnt2 przy montażu pierwszego. Możesz oczywiście tworzyć wspólny system na czymś takim LVM, ale możesz przejść prostszą drogą:
przepisać w fstab jak poniższa linia:
/dev/sda2 /mnt1 ext3 noatime,exec,loop,encryption=AES256 0 0System podczas rozruchu montuje punkty w tej samej kolejności, jak opisano w fstab, więc jeśli pierwsza partycja nie jest zamontowana, klucz do zamontowania drugiej partycji pozostanie niedostępny, a druga partycja również nie zostanie zamontowana.
Hasło jest przechowywane jako zwykły/tekst to z pewnością nie jest zbyt piękne, ale jest przechowywane na zaszyfrowanej partycji (którą można odmontować). Możesz użyć zamiast tego gpg-key, jednak nie zwiększy to większego bezpieczeństwa (jeśli mogą już ukraść klucz, to nie będzie miało większego znaczenia, jaki to będzie klucz), opcja szyfrowania z gpg-klucz opisany w przegrany człowiek, tutaj podam tylko przykład zapisu w fstab:
/dev/sda2 /mnt1 ext3 noatime,exec,loop,encryption=AES256 0 0Aby uzyskać więcej informacji na temat obsługiwanych algorytmów szyfrowania, zobacz przegrany człowiek, można również zobaczyć opis innych opcji programu przegrana.
Jeśli masz problemy z instalacją modułów AES, przeczytaj dokumentację dołączoną do pakietu pętla-aes-źródło.
Podczas instalowania partycji głównej na zaszyfrowanym dysku GRUB może wyświetlać błędy w menu głównym. Dzieje się tak, ponieważ standardowa czcionka /usr/share/grub/unicode.pf2 nie jest dostępna. Kopiowanie czcionki
cp /usr/share/grub/unicode.pf2 /boot/grub/Określ ustawienie
nano /etc/default/grub GRUB_FONT=/boot/grub/unicode.pf2Zastosowanie ustawienia:
aktualizacja-grubTrueCrypt nie jest już utrzymywany, ale dm-crypt i LUKS to świetna opcja open source. kod źródłowy, która umożliwia szyfrowanie i korzystanie z zaszyfrowanych danych.
Bezpieczeństwo danych stało się jedną z największych obaw wśród użytkowników Internetu. Wiadomości o kradzieży danych ze stron internetowych stały się bardzo powszechne, ale ochrona danych to nie tylko obowiązek stron internetowych, ale my, użytkownicy końcowi, możemy wiele zrobić dla własnego bezpieczeństwa. Na przykład tylko kilka przykładów to używanie silnych haseł, szyfrowanie dysków twardych znajdujących się na naszych komputerach i korzystanie z bezpiecznych połączeń. W szczególności szyfrowanie twardy dysk Jest w dobry sposób bezpieczeństwo - nie tylko ochroni Cię przed trojanami próbującymi ukraść Twoje dane przez sieć, ale także przed atakami fizycznymi.
W maju tego roku rozwój znanej aplikacji TrueCrypt narzędzie oprogramowanie typu open source do szyfrowania dysków. Jak wielu z was wie, było to jedno z bardzo niezawodnych narzędzi do szyfrowania dysków. To smutne, że narzędzie tego kalibru znika, ale wielkość świata open source jest taka, że istnieje kilka innych narzędzi open source, które mogą pomóc w osiągnięciu bezpieczeństwa dzięki szyfrowaniu dysku, które mają również wiele ustawień konfiguracyjnych. Rozważymy dwa z nich - dm-crypt i LUKS - as Alternatywy TrueCrypt dla platformy Linux. Zacznijmy od szybkiego spojrzenia na dm-crypt, a następnie LUKS.
Są to podstawowe informacje o urządzeniu korzystającym z LUKS, które wskazują jakie szyfrowanie jest stosowane, tryb szyfrowania, algorytm haszujący oraz inne dane kryptograficzne.
Nazwa aplikacji dm-crypt jest skrótem od device mapper-crypt (szyfruj podczas mapowania urządzenia). Jak sama nazwa wskazuje, opiera się na strukturze mapowania urządzeń. Jądra Linuksa, zaprojektowany do mapowania urządzeń blokowych na wirtualne urządzenia blokowe wyższego poziomu. Podczas mapowania urządzeń można korzystać z kilku funkcji jądra, takich jak dm-cache (tworzy woluminy hybrydowe), dm-verity (przeznaczony do sprawdzania integralności bloków, jest częścią systemu operacyjnego Chrome) oraz bardzo popularnego Dockera. Do celów kryptograficznych dm-crypt wykorzystuje framework Linux Kernel Crypto API.
Podsumowując, aplikacja dm-crypt to podsystem szyfrowania na poziomie jądra, który oferuje przezroczyste szyfrowanie dysku: oznacza to, że pliki są dostępne natychmiast po zamontowaniu dysku — nie ma widocznego opóźnienia dla użytkownika końcowego. Aby zaszyfrować za pomocą dm-crypt, możesz po prostu określić jeden z szyfrów symetrycznych, tryb szyfrowania, klucz (dowolny dozwolony rozmiar), tryb generacji IV, a następnie utworzyć nowe urządzenie blokowe w /dev. Teraz podczas zapisywania na tym urządzeniu nastąpi szyfrowanie, a po odczytaniu zostanie odszyfrowane. Możesz jak zwykle zamontować system plików na tym urządzeniu lub użyć urządzenia dm-crypt do stworzenia innych konstrukcji, takich jak wolumin RAID lub LVM. Tabela mapowania dla dm-crypt jest ustawiona w następujący sposób:
Tutaj wartość start-sector wynosi zwykle 0, wartość size to rozmiar urządzenia w sektorach, a nazwa docelowa to nazwa, którą chcesz nadać zaszyfrowanemu urządzeniu. Tabela mapowania celu składa się z następujących sekcji:
Jak widzieliśmy w poprzednim kroku, aplikacja dm-crypt może samodzielnie szyfrować/odszyfrowywać dane. Ma jednak kilka wad - jeśli użyjesz dm-crypt bezpośrednio, nie utworzy metadanych na dysku, a to może być duży problem, jeśli chcesz zapewnić kompatybilność między różnymi dystrybucjami Linuksa. Ponadto aplikacja dm-crypt nie obsługuje używania wielu kluczy, podczas gdy w prawdziwym życiu bardzo ważne jest używanie wielu kluczy.
Z tych powodów narodziła się metodologia LUKS (Linux Unified Key Setup). LUKS to standard szyfrowania Linuksa. dyski twarde a standaryzacja umożliwia interoperacyjność między różnymi dystrybucjami. Obsługiwanych jest również wiele kluczy i haseł. W ramach tej standaryzacji do zaszyfrowanych danych dodawany jest nagłówek LUKS, który zawiera wszystkie informacje niezbędne do konfiguracji. Gdy istnieje taki nagłówek z danymi, użytkownicy mogą łatwo przełączyć się na dowolną inną dystrybucję. Projekt dm-crypt obecnie zaleca używanie LUKS jako preferowanego sposobu konfigurowania szyfrowania dysku. Przyjrzyjmy się, jak zainstalować narzędzie cryptsetup i jak go używać do tworzenia woluminów opartych na LUKS.
Funkcjonalność na poziomie jądra, z której korzysta dm-crypt, jest już dostępna we wszystkich dystrybucjach Linuksa; potrzebujemy tylko interfejsu do nich. Będziemy używać narzędzia cryptsetup, które umożliwia tworzenie woluminów przy użyciu dm-crypt, standardu LUKS i starej, dobrej aplikacji TrueCrypt. Aby zainstalować cryptsetup na dystrybucjach Debian/Ubuntu, możesz użyć następujących poleceń:
$ Sudo apt-get update$ sudo apt-get install cryptsetup
Pierwsze polecenie synchronizuje pliki indeksu rakiety z zawartością ich repozytoriów: pobiera informacje o najnowsze wersje wszystkie dostępne pakiety. Drugie polecenie pobierze i zainstaluje pakiet cryptsetup na twoim komputerze. Jeśli używasz dystrybucji RHEL/Fedora/CentOS, możesz użyć polecenia yum, aby zainstalować narzędzie cryptsetup.
$ mniam zainstaluj cryptsetup-luks
Teraz, gdy narzędzie cryptsetup zostało pomyślnie zainstalowane, musimy utworzyć plik docelowy, który będzie zawierał kontener LUKS. Chociaż istnieje wiele sposobów na stworzenie takiego pliku, podczas jego tworzenia należy spełnić szereg warunków:
W stworzeniu pliku, który będzie spełniał powyższe warunki, może nam pomóc polecenie dd, choć będzie ono działać stosunkowo wolno. Po prostu użyj go ze specjalnym plikiem urządzenia /dev/random określonym jako wejście i plikiem docelowym, który ma zostać określony jako wyjście. Przykładowe polecenie wygląda następująco:
$ dd if=/dev/random of=/home/nitish/basefile bs=1M liczba=128
Spowoduje to utworzenie pliku 128 MB o nazwie basefile w katalogu /home/nitish. Należy jednak pamiętać, że wykonanie tego polecenia może zająć dużo czasu; w systemie, z którego korzystał nasz ekspert, zajęło to godzinę.
Po utworzeniu pliku docelowego musisz utworzyć sekcję LUKS w tym pliku. Ta sekcja służy jako warstwa podstawowa, na której zbudowane jest całe szyfrowanie danych. Ponadto nagłówek tej sekcji (nagłówek LUKS) zawiera wszystkie informacje wymagane do kompatybilności z innymi urządzeniami. Aby utworzyć partycję LUKS, użyj polecenia cryptsetup:
$ cryptsetup -y luksFormat /home/nitish/basefile
Po wyrażeniu zgody na trwałe usunięcie danych znajdujących się w pliku basefile wprowadź hasło, a następnie potwierdź je, partycja LUKS zostanie utworzona. Możesz to sprawdzić za pomocą następującego polecenia pliku:
$filebasefile
Pamiętaj, że wprowadzona tutaj fraza zostanie użyta do odszyfrowania danych. Bardzo ważne jest, aby go zapamiętać i przechowywać w bezpiecznym miejscu, ponieważ jeśli go zapomnisz, prawie na pewno stracisz wszystkie dane na zaszyfrowanej partycji.
Kontener LUKS, który stworzyliśmy w poprzednim kroku, jest teraz dostępny jako plik. W naszym przykładzie jest to /home/nitish/basefile. Narzędzie cryptsetup umożliwia otwarcie kontenera LUKS jako niezależnego urządzenia. Aby to zrobić, najpierw zmapuj plik kontenera na nazwę urządzenia, a następnie zamontuj urządzenie. Polecenie wyświetlania wygląda następująco:
Po pomyślnym wejściu hasło utworzony w poprzednim kroku, kontener LUKS zostanie zmapowany na wolumin1. W rzeczywistości plik jest otwierany jako urządzenie lokalnej pętli zwrotnej, dzięki czemu reszta systemu może teraz traktować plik tak, jakby był prawdziwym urządzeniem.
Plik kontenera LUKS jest teraz dostępny w systemie jako zwykłe urządzenie. Zanim będziemy mogli używać go do normalnych operacji, musimy go sformatować i utworzyć na nim system plików. Możesz użyć dowolnego systemu plików, który jest obsługiwany w twoim systemie. W moim przykładzie użyliśmy ext4, ponieważ jest to najnowszy system plików dla systemów Linux.
$ mkfs.ext4 -j /dev/mapper/volume1
Po pomyślnym sformatowaniu urządzenia następnym krokiem jest zamontowanie go. Najpierw musisz utworzyć punkt montowania, najlepiej w /mnt (zdrowy rozsądek).
$ mkdir /mnt/files
Teraz montujemy:
Aby sprawdzić krzyżowo, użyj polecenia df –h — zobaczysz urządzenie „/dev/mapper/volume1” na końcu listy zamontowanych urządzeń. Widać, że nagłówek LUKS zajmuje już trochę miejsca w urządzeniu.
Dzięki temu krokowi możesz teraz korzystać z urządzenia LUKS z systemem plików ext4. Po prostu użyj tego urządzenia do przechowywania plików - wszystko, co zapiszesz na tym urządzeniu, zostanie zaszyfrowane, a wszystko, co z niego odczytasz, zostanie odszyfrowane i wyświetlone.
Wykonaliśmy kilka kroków, aby osiągnąć ten wynik, a jeśli nie masz jasności, jak to wszystko działa, najprawdopodobniej będziesz zdezorientowany, co należy zrobić tylko raz (wymagane do instalacji), a to należy zrobić regularnie podczas korzystania z szyfrowania. Rozważmy następujący scenariusz: pomyślnie wykonałeś wszystkie powyższe kroki, a następnie wyłączyłeś komputer. Następnego dnia po uruchomieniu komputera nie możesz znaleźć zamontowanego urządzenia - gdzie się podziało? Aby sobie z tym wszystkim poradzić, należy pamiętać, że po uruchomieniu systemu należy zamontować kontener LUKS, a przed zatrzymaniem komputera odmontować go.
Aby uzyskać dostęp do pliku LUKS, przy każdym włączeniu komputera wykonaj poniższe czynności, a następnie bezpiecznie zamknij plik przed wyłączeniem komputera:
Otwórz plik LUKS (np. /home/nitish/basefile) i wprowadź hasło. Polecenie wygląda następująco:
$ cryptsetup luksOpen /home/nitish/basefile volume1
Po otwarciu pliku zamontuj go (jeśli nie montuje się automatycznie):
$ mount /dev/mapper/volume1 /mnt/files
Teraz możesz używać zamontowanego urządzenia jako zwykłego dysku i odczytywać lub zapisywać na nim dane.
Po zakończeniu odmontuj urządzenie w następujący sposób:
$ umount /mnt/files
Po pomyślnym odmontowaniu zamknij plik LUKS:
$ cryptsetup luksZamknij głośność1
Większość utraty danych przechowywanych w kontenerze LUKS jest spowodowana uszkodzeniem nagłówka LUKS lub gniazd kluczy. Oprócz tego, że nagłówki LUKS mogą zostać uszkodzone nawet w wyniku przypadkowego nadpisania w pamięci nagłówków, w realne warunki Możliwe jest również, że dysk twardy ulegnie całkowitej awarii. Najlepszym sposobem w celu ochrony przed takimi problemami jest kopia zapasowa. Zobaczmy, jakie opcje tworzenia kopii zapasowych są dostępne.
Aby utworzyć kopię zapasową pliku nagłówkowego LUKS, określ parametr luksHeaderBackup w poleceniu:
$ Sudo cryptsetup luksHeaderBackup /home/nitish/basefile --header-backup-file /home/nitish/backupfile
Lub, jeśli chcesz przywrócić plik z kopii zapasowej, określ parametr luksHeaderRestore w poleceniu:
$ sudo cryptsetup luksHeaderRestore /home/nitish/basefile --header-backup-file /home/nitish/backupfile
Możesz użyć parametru isLuks, aby sprawdzić plik nagłówkowy LUKS i sprawdzić, czy plik, z którym masz do czynienia, odpowiada rzeczywistemu urządzeniu LUKS.
$ sudo cryptsetup -v isLuks /home/nitish/basefile
Widzieliśmy już, jak wykonać kopię zapasową plików nagłówkowych LUKS, ale tworzenie kopii zapasowej nagłówka LUKS tak naprawdę nie chroni przed całkowitą awarią dysku, więc musisz wykonać kopię zapasową całej partycji za pomocą następującego polecenia cat:
$ cat /home/nitish/basefile > basefile.img
Istnieje kilka innych ustawień, które mogą być przydatne podczas korzystania z szyfrowania dm-crypt LUKS. Przyjrzyjmy się im.
Aby zrzucić nagłówek LUKS, polecenie cryptsetup ma opcję luksDump. Pozwoli ci to zrobić migawkę pliku nagłówkowego LUKS urządzenia, którego używasz. Przykładowe polecenie wygląda następująco:
$ cryptsetup luksDump /home/nitish/basefile
Na początku tego artykułu wspomnieliśmy, że LUKS obsługuje wiele kluczy. Zobaczmy to teraz w akcji, dodając nowe miejsce na klucz ( uwaga dot.: miejsce na klucz - miejsce pod klucz):
$ cryptsetup luksAddKey --Key-slot 1 /home/nitish/basefile
Polecenie to dodaje klucz do gniazda klucza numer 1, ale dopiero po wprowadzeniu aktualnego hasła (klucz znajdujący się w slocie klucza 0). W sumie jest osiem miejsc na klucze i możesz odszyfrować dane za pomocą dowolnego klucza. Jeśli zrzucisz nagłówek po dodaniu drugiego klucza, zobaczysz, że drugie miejsce na klucz jest zajęte.
Możesz usunąć gniazda na klucze w następujący sposób:
$ cryptsetup luksRemoveKey /home/nitish/basefile
Spowoduje to usunięcie gniazda klucza o najwyższym numerze gniazda. Uważaj, aby nie usunąć wszystkich miejsc, w przeciwnym razie Twoje dane zostaną trwale utracone.
Szyfrowanie katalogu domowego zapewnia niezawodną ochronę danych przechowywanych na dysku twardym lub innym nośniku. Szyfrowanie jest szczególnie istotne na laptopach, komputerach z wieloma dostępami iw każdym innym środowisku. Szyfrowanie katalogu domowego jest oferowane podczas instalacji Linux Mint.
Główna przeszkoda pełne szyfrowanie katalog domowy polega na tym, że trzeba „przenieść” katalog z zaszyfrowanymi danymi poza punkt montowania.
Wydajność nieznacznie spada, przynajmniej jeszcze nie przy użyciu SWAP. SWAP to specjalna partycja dysku lub plik, do którego system operacyjny przenosi poszczególne bloki pamięci RAM, gdy nie ma wystarczającej ilości pamięci RAM do uruchamiania aplikacji. SWAP jest również szyfrowany, jeśli zdecydujesz się zaszyfrować swój katalog domowy w instalatorze, a tryb hibernacji przestanie działać.
Nie szyfruj SWAP z zaszyfrowanym katalogiem domowym - potencjalnie niebezpieczne, ponieważ dane z zaszyfrowanych plików mogą znajdować się w postaci zwykłego tekstu - cały sens szyfrowania jest stracony. Począwszy od wersji 14 Linux Mint podczas instalacji można wybrać opcję szyfrowania całego dysku. Ta opcja jest najbardziej odpowiednia do przechowywania danych osobowych na urządzeniach przenośnych (które zwykle mają tylko jednego użytkownika).
Linux Mint ma wbudowane narzędzie o nazwie „Hasła i klucze” lub Seahorse. Korzystając z jego możliwości, użytkownik może operować wszystkimi kluczami, hasłami i certyfikatami, które są dostępne w tym systemie operacyjnym.
Zasadniczo Seahorse to aplikacja dla GNOME (GNOME to darmowe środowisko graficzne dla systemów operacyjnych typu Unix), która jest nakładką na GnuPG (darmowy program do szyfrowania informacji i tworzenia podpisów cyfrowych) i jest przeznaczona do zarządzania szyfrowaniem klucze i hasła. Przyszedł, aby zastąpić Breloczek GNOME, który został całkowicie zastąpiony w GNOME 2.22, chociaż ogłoszono to już w GNOME 2.18. Pozwala wykonać wszystkie operacje, które wcześniej musiałeś wykonać w wierszu poleceń i połączyć je w jednym interfejsie:
zarządzać swoim bezpieczeństwem środowisko pracy oraz klucze OpenPGP i SSH;
szyfrować, rozszerzać i weryfikować pliki i tekst;
dodaj i sprawdź Podpisy cyfrowe do dokumentów;
synchronizować klucze z serwerami kluczy;
tworzyć i publikować klucze;
rezerwować kluczowe informacje;
dodawać do obrazów w dowolnym obsługiwanym GDK jako identyfikator zdjęcia OpenGPG;
TrueCrypt ma dość przyjazny dla użytkownika interfejs graficzny, ale niestety programiści mają zintegrowaną integrację z menedżerem plików Nautilus w kodzie.
Do szyfrowania danych można użyć różnych metod.
Najpierw musisz utworzyć tak zwany kontener, który będzie zawierał foldery plików przeznaczone do szyfrowania. Kontenerem może być plik o dowolnej nazwie lub nawet cała partycja dysku. Aby uzyskać dostęp do kontenera, musisz podać hasło, a także możesz utworzyć plik klucza (opcjonalnie), który będzie używany do szyfrowania informacji. Kontener jest limitowany.
Twórz zaszyfrowane partycje/pliki
Tworzenie pliku klucza:
truecrypt -create-keyfile /home/user/test/file , gdzie plik to nazwa pliku klucza.
Tworzenie kontenera, w tym przypadku sekcji:
sudo truecrypt -k /home/user/test/file -c /dev/sda9
Zamiast partycji /dev/sda9 całkiem możliwe jest określenie pliku, na przykład /home/user/test/cryptofile, ale w tym przypadku konieczne będzie określenie jego rozmiaru, odbywa się to za pomocą opcji -size= Parametr 5G przed parametrem -c. Ten przykład utworzy plik kryptograficzny o wielkości 5 GB. Czasami TrueCrypt akceptuje rozmiar tylko w bajtach, dla 5 GB możesz albo obliczyć wartość z góry i podać -size=5368709120, albo napisać to tak: -size=`echo 1024^3*5 | pne`.
Do szyfrowania zostanie użyty już utworzony plik klucza.
Podczas tworzenia zostaniesz poproszony o wybranie typu kontenera (normalny / ukryty), systemu plików (FAT, ext2 / 3/4 lub bez FS), w tym przykładzie wybrano tryb bez użycia FS. Zostanie również zaoferowany wybór algorytmu szyfrowania (na przykład AES), a także algorytmu mieszania (na przykład SHA-1) do szyfrowania strumieni danych.
TrueCrypt służy do szyfrowania danych w locie, to znaczy, montując kontener, możesz pracować z plikami w nim jak zwykle (otwierać/edytować/zamykać/tworzyć/usuwać), co jest bardzo wygodne.
Utworzono zaszyfrowaną partycję/plik. Teraz, jeśli chcesz sformatować jego wewnętrzny system plików (zwany dalej FS) na żądany, powinieneś wykonać następujące czynności.
Wybierz wymaganą partycję za pomocą Truecrypt:
truecrypt -k /home/user/test/file /dev/sda9
Domyślnie zostanie użyte utworzone urządzenie Truecrypt /dev/mapper/truecrypt0. Uzyskując dostęp do tego urządzenia, możesz zmienić na przykład system plików w zaszyfrowanym kontenerze. W takim przypadku należy to zrobić.
sudo mkfs.ext4 -v /dev/mapper/truecrypt0
W ten sposób FS ext4 został utworzony w tym zaszyfrowanym kontenerze.
Ponadto, ponieważ ten kontener jest już „podłączony” do urządzenia /dev/mapper/truecrypt0, pozostaje po prostu zamontować go w jakimś katalogu. Ten katalog montowania musi już istnieć w systemie.
sudo zamontować /dev/mapper/truecrypt0 /mnt/crypto, gdzie /mnt/crypto to katalog, w którym jest montowany zaszyfrowany kontener.
truecrypt -d
Teraz, nie znając pliku klucza i hasła, nikt nie może odczytać ukrytych informacji.
