Walka z piractwem nabiera nowego rozmachu, posiadacze praw i agencje rządowe podwajają wysiłki w tej trudnej sprawie. Chyba każdy z nas zastanawiał się, jak zabezpieczyć akta osobiste przed wtargnięciem „niespodziewanych gości” i po prostu zbyt dociekliwych osób.
Zaszyfrujemy dyski standardowe środki Ubuntu i klucz szyfrowania, podobnie jak partycja /boot, zostaną umieszczone na dysku wymiennym. Ale po co szyfrować partycję główną? W końcu możesz tylko zaszyfrować /home? Jest tego kilka powodów. Pierwsza opiera się na pliki konfiguracyjne niektóre informacje można wyodrębnić z /etc, nawet jeśli nie są to dane wrażliwe. Po drugie, jeśli nagle zawartość dysku zainteresuje się, zawsze można powiedzieć, że wszystko się wydarzyło i że dysk był już pełen pseudolosowych danych. Co jest do tego potrzebne?
Użyjemy AES jako algorytmu szyfrowania dysku, ponieważ jest akceptowany jako standard i odporny na szyfrowanie, a cryptsetup / LUKS jako środek. Aby móc dodać wolne miejsce na zaszyfrowanym woluminie, użyjmy woluminów logicznych (LVM).
Po uruchomieniu z LiveCD musisz przygotować dysk flash: utwórz na nim drugą partycję, na której zostanie umieszczony /boot i klucz szyfrujący. Tworząc partycję /boot z systemem plików ext2 jako drugą upieczemy dwie pieczenie przy jednym ogniu - pierwsza partycja będzie widoczna we wszystkich systemach i można na niej przechowywać dane, a drugiej z Windowsa nie widać tak łatwo, co dodaje niedogodności ciekawskim. Do partycjonowania użyłem gparted, ale nikomu nie przeszkadza używanie np. fdisk. Następnie musisz zamontować nowo utworzoną partycję i wygenerować plik klucza:
Po co czytać bajt po bajcie? Chodzi o to, że basen losowe liczby w jądrze jest stosunkowo mały i nie zawsze zawiera wystarczającą ilość losowych danych, więc mysz była poruszana losowo podczas generowania.
Zobaczmy, co robi to polecenie. Pierwszy klucz określa typ funkcji skrótu, która ma być używana do mieszania klucza głównego. Drugi klucz określa algorytm i typ szyfrowania. Zastanowię się nad tym trochę bardziej szczegółowo. Co to jest CBC? Jak wiesz, AES to szyfr blokowy, który działa w blokach 128, 192 lub 256 bitów. Jednak z reguły znacznie większe ilości informacji są szyfrowane. I pojawia się problem - jak zaszyfrować, żeby nie było widać rozkładu nielosowego, z którego kryptoanalityk może wyciągnąć informacje. Sprytni ludzie rozwiązali to w ten sposób: pierwszy blok zawiera IV - losowy zestaw bitów. A każdy kolejny blok otwartych danych jest poddawany operacji XOR z poprzednim blokiem już zaszyfrowanych danych. Wszystko wydaje się być w porządku, ale w przypadku szyfrowania dysku taki schemat z oczywistych względów nie ma zastosowania (nie będziesz czekać 10–20 minut za każdym razem, aż system odszyfruje potrzebną sekcję?). W LUKS-ie ESSIV służy do rozwiązania problemu losowego dostępu do informacji - szyfrowane są relatywnie małe bloki danych (sektor po sektorze), a wektor inicjujący jest generowany na podstawie numeru sektora i skrótu klucza. Taki schemat chroni również przed niektórymi atakami kryptograficznymi. W szczególności dlatego używam LUKS. Potwierdzanie intencji po starcie poprzedni zespół, utwórz mapowanie urządzenia LUKS:
# cryptsetup -d=/mnt/boot/key.bin luksOpen /dev/sdd kryptodysk |
Pierwszy etap przygotowań zakończony - teraz w katalogu /dev/mapper pojawiło się urządzenie kryptodysku, które można traktować jak zwykły dysk.
W zasadzie teraz możesz zainstalować Ubuntu na nowo utworzonym kryptodysku, ale, jak już pisałem, aby móc zwiększyć przestrzeń, lepiej jest utworzyć na nim wolumin LVM, co też zrobimy. Zainicjujmy wolumin fizyczny i utwórzmy grupę woluminów:
Teraz możesz sformatować je w systemy plików. Możesz wybrać sam, ale użyłem starego dobrego ext4 zarówno dla woluminu głównego, jak i dla vg-home - moim zdaniem już oszukaliśmy za dużo, aby używać nowszych systemów plików:
Wystarczy, że zainstalujemy Ubuntu na niezaszyfrowanej partycji/dysku i przeniesiemy go na zaszyfrowaną.
Teraz zakładamy niezaszyfrowane Dysk Ubuntu- wykonaj konfigurację według własnych upodobań, z wyjątkiem umieszczenia /boot i bootloadera. Muszą być umieszczone na dysku flash, na którym wcześniej utworzyłeś odpowiednią sekcję. Następnie uruchamiamy z dysku flash USB, aby sprawdzić, czy wszystko wzrosło poprawnie, zainstaluj z apt-get pakiety lvm2 i cryptsetup - zostały usunięte automatycznie po instalacji Ubuntu - oraz dodaj/zmień linie /etc/fstab. Powinieneś otrzymać coś podobnego (z wyjątkiem linii z systemami pseudoplików, które jednak w nowoczesne systemy NIE):
/etc/fstab UUID=dd7ca139-074a-4b1b-a116-3a42feab7459/boot ext2 defaults 0 2 /dev/mapper/vg-root/ext4 errors=remount-ro 0 1 /dev/mapper/vg-home/home ext4 defaults 0 1 / dev / mapper / vg - swap brak swap sw 0 0 |
Partycję /boot montujemy po UUID, aby przy dodawaniu nowych dysków nie było pomyłki z ich nazwami. Teraz przechodzimy do pliku /etc/crypttab, mamy go z następującą treścią:
Stwórzmy skrypt, aby ponownie nie montować dysku flash USB:
Skopiuj klucz i cryptsetup
cp / boot / key . bin $ ( KATALOG KATALOGOWY ) / etc / crypto copy_exec / sbin / cryptsetup / sbin |
A rzeczywisty skrypt do podłączenia kryptodysku (działa podczas rozruchu initrd):
/etc/initramfs-tools/scripts/local-top/cryptokeys. . . modprobe - b dm_crypt while! /sbin/cryptsetup -d=/etc/crypto/key.bin luksOpen /dev/disk/by-uuid/c34e4c91-1fa1-4802-88ca-9c3be5c99097 cryptodisk ; wykonaj echo „Spróbuj ponownie…” gotowe |
Pętla while jest konieczna, jeśli później dodasz odblokowanie głośności za pomocą hasła. Oba skrypty muszą być wykonywalne, w przeciwnym razie następne polecenie ich nie zobaczy i utworzy standardowy obraz. Teraz możesz wydać polecenie aktualizacji initrd:
# aktualizacja initrd -u -k all -v |
Prawie zapomnieliśmy o konfiguracji bootloadera. Istnieją dwa sposoby jego edycji: jeden jest prosty, ale błędny - bezpośrednia edycja pliku /boot/grub/grub.cfg, drugi jest również prosty, ale tym razem poprawny. Niepoprawność pierwszej metody polega na tym, że przy każdej aktualizacji jądra konfiguracja jest nadpisywana przy użyciu skryptów z /etc/grub.d/. My pójdziemy w drugą stronę - dodamy skrypt, który wygeneruje poprawne linie w prawdziwej konfiguracji Grab. Jest jednak jedno „ale” - podczas aktualizacji jądra albo będziesz musiał je zmieniać za każdym razem, albo pozostać przy starym (to drugie, moim zdaniem, jest lepsze - patrz pasek boczny). Tak wyglądają jego wiersze:
/etc/grub .d/40_custom menuentry "Ubuntu crypto" (recordfail = 1 if [ - n $ ( have_grubenv ) ] ; następnie save_env recordfail ; fi set quiet = 1 insmod part_msdos insmod ext2 insmod gzio |
Identyfikator UUID jest pobierany z wcześniej nagranego pliku
szukaj -- nie - dyskietka -- fs - uuid -- set = root dd7ca139 - 074a - 4b1b - a116 - 3a42feab7459 |
Partycja /boot jest uważana za partycję główną dla Gruba, więc ścieżki do jądra i obrazu initrd są względem niej względne.
Opcjonalnie możesz wyłączyć niepotrzebne elementy menu. Aby to zrobić, po prostu usuń uprawnienia do wykonywania ze wszystkich niepotrzebnych skryptów w /etc/grub.d/. Teraz możesz zaktualizować główną konfigurację:
Po skopiowaniu możesz spróbować uruchomić system z dysku flash - wystarczy wybrać pozycję menu Ubuntu crypto. Jeśli wszystko poszło dobrze, po chwili pojawi się monit o zalogowanie. W takim razie mogę ci pogratulować - już pracujesz w zaszyfrowanym systemie.
Powiedzmy, że musisz zmienić klucz — naruszyłeś go lub po prostu stworzyłeś politykę zmian i chcesz ściśle jej przestrzegać. Co jest do tego potrzebne? Przede wszystkim zrób kopia zapasowa nagłówek woluminu LUKS - jeśli wszystko pójdzie dobrze, po zmianie klucza możesz go zniszczyć. Robimy to oczywiście na niezaszyfrowanej partycji:
Patrzymy na aktualne keyloty (miejsca w nagłówku zaszyfrowanego wolumenu, w których przechowywane są klucze - tak, może być więcej niż jeden) i zapamiętujemy numer aktywnego (Enabled). Zwykle jest to zero.
Semenenko W.
Podczas instalacji systemu operacyjnego Ubuntu możesz nie myśleć o konfigurowaniu w nim szyfrowania danych. Lub może zaistnieć sytuacja, w której dodasz użytkownika do systemu bez szyfrowania jego katalogu domowego. Ale teraz zmieniłeś zdanie i zdecydowałeś się skonfigurować ochronę tego katalogu. Innymi słowy, Ty (lub inny użytkownik komputera) chcesz mieć taką możliwość ten moment NIE...
Jak można dodać możliwość szyfrowania w już zainstalowanym systemu Ubuntu Linuksa?
Na szczęście jest to dość łatwe do wdrożenia. W tym celu wystarczy wykonać trzy podstawowe kroki:
Czynności opisane w tym artykule zostały wykonane na w pełni zaktualizowanym systemie Ubuntu Precise 12.04.
Ze względu na obecny błąd w ubuntu linux nie możesz się zalogować, jeśli grafika logowania znajduje się w zaszyfrowanym folderze domowym użytkownika. Jeśli użytkownik zmienił domyślny wygląd, upewnij się, że nie znajduje się on również w folderze domowym użytkownika.
Tworzenie zaszyfrowanej kopii katalogu domowego użytkownika jest bezpieczną procedurą. Warto jednak zwrócić uwagę, że do jego realizacji wymagana jest pewna ilość miejsca na dysku twardym. Jeśli okaże się, że miejsca jest za mało, należy wykonać kopię zapasową danych, a następnie usunąć z niej wszystkie duże pliki (np. filmy) i przywrócić je z tej kopii po zakończeniu szyfrowania. Ogólnie zalecam wykonanie kopii zapasowej wszystkich danych, aby zapobiec możliwym problemom.
Korzystając z preferowanego menedżera pakietów, zainstaluj program encrypt-utils.
W tym samouczku użyję loginu Paddy'ego jako nazwy użytkownika do działania. Musisz zastąpić go nazwą użytkownika, którego katalog domowy zostanie zaszyfrowany.
Uruchom ponownie Ubuntu Linux i przejdź do „Trybu odzyskiwania” ( Tryb odzyskiwania). Jedna rada - podczas uruchamiania systemu naciśnij i przytrzymaj klawisz Shift, aby otworzyć menu Grub. Zwykle wiersz „Tryb odzyskiwania” (Tryb odzyskiwania) znajduje się drugi od góry na liście tego programu ładującego.
W menu trybu odzyskiwania wybierz „Upuść”, aby wyświetlić monit wiersz poleceń Dla kontoźródło.
Aby naprawić błąd programowania wspomniany na początku tego artykułu, wprowadź następujące dwa polecenia:
montuj --opcje ponownie montuj, rw /
zamontować — wszystko
Teraz możemy utworzyć zaszyfrowaną kopię katalogu domowego użytkownika paddy. Aby to zrobić, wprowadź poniższe polecenie. Jednocześnie zadaj sobie trud zapamiętania własnego hasła, ponieważ to narzędzie będzie wymagać od niego wykonania operacji:
Po zakończeniu procesu szyfrowania zobaczysz kilka ostrzeżeń. Możesz je zignorować. Ale będziesz musiał zapamiętać ścieżkę do folderu tymczasowego utworzonego przez to polecenie. Jego wygląd będzie wyglądał mniej więcej tak: /home/paddy.ChPzzxqD
W tym przypadku ostatnich osiem znaków (po kropce) to zestaw losowy. Ten katalog będzie potrzebny w kolejnych krokach „Zakończenie” lub „Powrót do stanu początkowego”, które zostaną omówione później.
Uruchom ponownie system Ubuntu Linux. Aby to zrobić, wpisz polecenie: zrestartuj teraz
Wpisanie i uruchomienie polecenia może zająć kilka sekund, więc bądź cierpliwy.
Zaloguj się do swojego systemu Ubuntu w zwykły sposób, tak jak za każdym razem. Sprawdź, czy wszystko działa jak wcześniej.
Jeśli coś jest nie tak, możesz od razu przejść do pozycji „Powrót do stanu pierwotnego”.
Jeśli wszystko w systemie działa dobrze, wykonaj ostatnie kroki.
Otwórz terminal i wprowadź polecenie usunięcia katalogu tymczasowego. Aby to zrobić, musisz zapamiętać ścieżkę do folderu tymczasowego, który został utworzony podczas szyfrowania katalogu domowego.
sudo rm -R /home/paddy.ChPzzxqD
Przywróć dane, które usunąłeś (jeśli istnieją) w kroku „Przygotowanie”.
Ponownie otwórz terminal i wprowadź polecenie, aby zaszyfrować partycję wymiany. Jeśli wcześniej miałeś skonfigurowanego użytkownika z szyfrowaniem katalogu domowego, możesz bezpiecznie pominąć ten krok: sudo ecryptfs-setup-swap
Uruchom ponownie.
Jeśli proces szyfrowania nie powiódł się, konieczne będzie powtórzenie poprzednich kroków.
Uruchom polecenia:
montuj --opcje ponownie montuj, rw /
zamontować — wszystko
ecryptfs-migrate-home --user paddy
Następnie wprowadź polecenie, aby wyświetlić zawartość folderu tymczasowego utworzonego podczas procesu szyfrowania. Aby to zrobić, musisz ponownie zapamiętać ścieżkę do niego. Nie powinno to generować żadnych błędów. Jeśli tak, potrzebujesz pomocy.
ls -l /home/paddy.ChPzzxqD
Teraz zakończ proces resetowania, wydając trzy polecenia:
cd /dom
rm -R paddy .ecryptfs/paddy
mv paddy.ChPzzxqD
Uruchom ponownie.
Mam nadzieję, że powyższe kroki ci pomogły. Jeśli masz nierozwiązywalne problemy, możesz opublikować prośbę w moim wątku na forum Ubuntu.
Większość użytkowników często zastanawia się, dlaczego system operacyjny Ubuntu nie przechodzi w stan hibernacji po wykonaniu poprzednich operacji (opisanych wcześniej w tym artykule) i jak przywrócić tę możliwość. Powodem jest skonfigurowane szyfrowanie. Jeśli masz skonfigurowane szyfrowanie katalogu domowego, partycja wymiany jest również szyfrowana, ale przy użyciu losowego klucza. Podczas hibernacji systemu data pamięć o swobodnym dostępie przechowywane na partycji wymiany, podczas gdy są szyfrowane losowym kluczem. Podczas przywracania systemu ze stanu hibernacji klucz użyty do zaszyfrowania partycji wymiany jest już bezpowrotnie utracony i system nie może odczytać tej partycji. W związku z tym dane nie mogą zostać odzyskane, a powrót do poprzedniego stanu nie jest możliwy.
Jeśli nie masz skonfigurowanego szyfrowania partycji w systemie, przywracanie hibernacji w Ubuntu jest łatwe. Aby to zrobić, po prostu uruchom polecenia: ls -l /home/paddy.ChPzzxqD
rm -R paddy .ecryptfs/paddy
Ale jeśli partycja domowa użytkownika i partycja wymiany są zaszyfrowane w systemie, konieczne jest zastąpienie szyfrowania partycji wymiany nie losowym kluczem, ale wcześniej wybranym hasłem.
Należy jednak pamiętać, że każdy użytkownik komputera będzie musiał znać to hasło podczas uruchamiania systemu.
Zostałem przetestowany tą drogą w obu przypadkach - zarówno na normalnym systemie Ubuntu 12.04, jak i na zainstalowanym systemie Ubuntu maszyna wirtualna wirtualne pudełko. W tym drugim przypadku występowały problemy z wyświetlaniem ekranu podczas przywracania z trybu uśpienia. Ale w zwykłym systemie wszystko działało dobrze.
Wpisz następującą komendę w terminalu: sudo cryptsetup status crypt zamieniać 1
W rezultacie zobaczysz linię wskazującą urządzenie, wyglądającą mniej więcej tak: /dev/sda1
lub /dev/sdb5
To urządzenie jest partycją wymiany w twoim systemie. Zapamiętaj to, ponieważ będzie ci później potrzebne.
Przy wprowadzaniu jakichkolwiek zmian w systemie zawsze zalecam wykonanie pełnego kopia zapasowa dane. W naszym przypadku również się przyda.
Wprowadź następujące polecenia. Upewnij się, że zastąpiłeś /dev/sdXN partycją wymiany utworzoną w sekcji „Przygotowanie”. Podczas wprowadzania poleceń należy ściśle przestrzegać określonej kolejności:
sudo swapoff /dev/mapper/cryptswap1
sudo cryptsetup luksZamknij /dev/mapper/cryptswap1
sudo cryptsetup luksFormat cipher aes cbc essiv:sha256 weryfikuje hasło rozmiar klucza 256 /dev/sdXN
OSTRZEŻENIE!
========
Spowoduje to nieodwracalne nadpisanie danych w /dev/sda1.
Jesteś pewny? (Wpisz wielkie litery tak): TAK
Wpisz hasło LUKS:
Sprawdź hasło:
sudo cryptsetup luksOpen /dev/sdXN cryptswap1
Wprowadź hasło do urządzenia /dev/sda1 (i powtórz je, aby uniknąć literówki):
sudo mk zamieniać/dev/mapper/crypt zamieniać 1
sudo zamień wszystko
zamiana
Ostatnie polecenie wyświetli nazwę pliku urządzenia /dev/crypt swap 1 .
Otwórz plik konfiguracyjny /etc/crypttab w preferowanym edytorze. Zamień wiersz crypt swap 1 na następujący (nie zapomnij zmienić /dev/sdXN na swoje urządzenie wymiany): cryptswap1 /dev/sdXN żaden luks
Teraz edytuj plik /usr/share/initramfstools/scripts/local-top/cryptroot . Znajdź w nim linię (zwykle ma numer 288, ale może się zmienić): komunikat „cryptsetup: nieznany błąd podczas konfigurowania mapowania urządzeń”
Przejdź do następnego pusta linia(przed FSTYPE=") i wstaw nową linię (nie zapomnij zastąpić urządzenia /dev/sdXN): /sbin/cryptsetup luksOpen /dev/sdXN crypt zamieniać 1
Edytuj plik /etc/acpi/hibetnate.sh . W pierwszym pustym wierszu wklej wartość: URZĄDZENIE="/dev/mapper/crypt zamieniać 1"
Edytuj plik /etc/initramfstools/conf.d/resume. Zamień istniejącą linię na następującą: WZNÓW=/dev/mapper/crypt zamieniać 1
Następnie edytuj plik /etc/polkit1/localauthoriyt/50-local.d/com.ubuntu.enable-hibernate.pkla . Plik początkowo nie istnieje, więc musisz go najpierw utworzyć. Następnie dodaj do niego linie:
Tożsamość=użytkownik unix:*
Action=org.freedesktop.upower.hibernate
ResultActive=tak
Na koniec otwórz terminal i wprowadź w nim następujące polecenie: sudo update initramfs u k all
Ponowne uruchomienie.
Następnym razem, gdy uruchomisz Ubuntu Linux, poprosi Cię o nowe hasło do partycji wymiany. Wprowadź go, a dalszy normalny proces logowania będzie kontynuowany.
Za pomocą dyski w chmurze użytkownicy są coraz bardziej zainteresowani szyfrowaniem w dystrybucje Linuksa. przedstawię ci ciekawy program„szyfrująca chmura”.
Czy kiedykolwiek myślałeś, że czysto teoretycznie te pliki, które przechowujesz w chmurze, czysto technicznie, mogą stać się publiczne w ciągu kilku minut w pewnych okolicznościach. Ja osobiście nie i przy całym moim braku paranoi zamieszczam tę informację wyłącznie dla tych, którzy są „już wypasani przez ZOG-a”, bo jak mówi stary dowcip: „Jeśli nie masz paranoi, to nie znaczy, że nie jesteś prześladowany”. Więc podążaj za mną. Przyjaciele.
W Szyfrowanie Linuksa disk jest realizowany na różne sposoby i na różnych poziomach. Istnieją setki sposobów na zaszyfrowanie całego dysku. Pokażę tylko działanie programu, który mi się podoba, który nawet taki noob jak ja może rozgryźć. Ta aplikacja nazywa się kryptomator.
Co mi się w nim podobało:
W rzeczywistości szyfrowanie odbywa się na komputer lokalny a następnie zsynchronizowane z chmurą, więc nawet jeśli Twój magazyn w chmurze ktoś uzyska taki sam dostęp, wtedy jego oczom ukaże się zestaw plików i folderów o nazwie abrakadabra i tej samej zawartości.
Spodobała mi się ta aplikacja z dwóch powodów, pierwszy to ciekawa i wygodna implementacja łączenia zaszyfrowanych kontenerów jak wirtualny dysk twardy. Implementowane według typu połączenia dysk USB. A drugi to cross-platform, kryptomator jest dostępny dla systemów Linux, Windows i Mac OS. To znaczy, jeśli masz Linuksa w domu, włączony Praca na Macu OS, a na wakacjach odwiedzasz Windows, możesz łatwo uzyskać dostęp do plików zaszyfrowanych w chmurze, po prostu instalując Cryptomator i wprowadzając w nim swoje hasło.
Aby zainstalować na Ubuntu i pochodnych, wpisz w terminalu:
#dodaj repozytorium sudo add-apt-repository ppa:sebastian-stenzel/cryptomator #aktualizuj listy pakietów rep sudo apt-get update #directly install Cryptomator sudo apt-get install cryptomator
Instalacja w Arch Linuksa i jego pochodne jest jednak proste, jak zawsze
Yaourt -S cryptomator #Nie będę pisał o pacaurze więc to jasne
Instalacja w Fedorze, Centos i innych dystrybucjach rpm odbywa się po prostu przez pobranie binarnego pakietu rpm i faktyczne zainstalowanie go.
Pobierz pakiet rpm
Korzystanie z Cryptomatora
Tak wygląda tworzenie nowego repozytorium
Wybór katalogu, w którym zostanie utworzony zaszyfrowany katalog Ten katalog może być katalogiem lokalnym lub zsynchronizowanym w magazynie w chmurze.
Tworzymy silny klucz, którego będziemy używać w przyszłości do łączenia naszego zaszyfrowanego magazynu.
Następnie pozostaje tylko wprowadzić nowo utworzony klucz i zamontować zaszyfrowaną partycję.
Na powyższym zrzucie ekranu wrzuciłem pakiet z plikami o wielkości 536,9 megabajtów do zamontowanego folderu szyfrowania i wypracowałem dla mnie tę garść małych plików w ciągu 1 minuty.
Podczas instalacji systemu operacyjnego Ubuntu możesz nie myśleć o konfigurowaniu w nim szyfrowania danych. Lub może zaistnieć sytuacja, w której dodasz użytkownika do systemu bez szyfrowania jego katalogu domowego. Ale teraz zmieniłeś zdanie i zdecydowałeś się skonfigurować ochronę tego katalogu. Innymi słowy, ty (lub inny użytkownik na komputerze) chcesz funkcji, która obecnie nie istnieje ...
Jak możesz dodać możliwość szyfrowania do już zainstalowany system ubuntu linux?
Na szczęście jest to dość łatwe do wdrożenia. W tym celu wystarczy wykonać trzy podstawowe kroki:
Czynności opisane w tym artykule zostały wykonane na w pełni zaktualizowanym systemie Ubuntu Precise 12.04.
Z powodu obecnego błędu w Ubuntu Linux nie możesz się zalogować, jeśli grafika logowania znajduje się w zaszyfrowanym folderze domowym użytkownika. Jeśli użytkownik zmienił domyślny wygląd, upewnij się, że nie znajduje się on również w folderze domowym użytkownika.
Tworzenie zaszyfrowanej kopii katalogu domowego użytkownika jest bezpieczną procedurą. Warto jednak zwrócić uwagę, że do jego realizacji wymagana jest pewna ilość miejsca na dysku twardym. Jeśli okaże się, że miejsca jest za mało, należy wykonać kopię zapasową danych, a następnie usunąć z niej wszystkie duże pliki (np. filmy) i przywrócić je z tej kopii po zakończeniu szyfrowania. Ogólnie zalecam wykonanie kopii zapasowej wszystkich danych, aby zapobiec możliwym problemom.
Korzystając z preferowanego menedżera pakietów, zainstaluj program encrypt-utils.
W tym samouczku użyję loginu Paddy'ego jako nazwy użytkownika do działania. Musisz zastąpić go nazwą użytkownika, którego katalog domowy zostanie zaszyfrowany.
Uruchom ponownie Ubuntu Linux i przejdź do „Trybu odzyskiwania”. Jedna rada - podczas uruchamiania systemu naciśnij i przytrzymaj klawisz Shift, aby otworzyć menu Grub. Zwykle wiersz „Tryb odzyskiwania” (Tryb odzyskiwania) znajduje się drugi od góry na liście tego programu ładującego.
Z menu trybu odzyskiwania wybierz „Upuść”, aby wyświetlić wiersz poleceń dla konta root.
Aby naprawić błąd programowania wspomniany na początku tego artykułu, wprowadź następujące dwa polecenia:
Mount --opcje remount, rw / mount --all
Teraz możemy utworzyć zaszyfrowaną kopię katalogu domowego użytkownika paddy. Aby to zrobić, wprowadź poniższe polecenie. Jednocześnie zadaj sobie trud zapamiętania własnego hasła, ponieważ to narzędzie będzie go wymagać do zakończenia operacji:
cryptfs-migrate-home --user paddy
Po zakończeniu procesu szyfrowania zobaczysz kilka ostrzeżeń. Możesz je zignorować. Ale będziesz musiał zapamiętać ścieżkę do folderu tymczasowego utworzonego przez to polecenie. Jego wygląd będzie wyglądał mniej więcej tak:
/home/paddy.ChPzzxqD
W tym przypadku ostatnich osiem znaków (po kropce) to zestaw losowy. Ten katalog będzie potrzebny w kolejnych krokach „Zakończenie” lub „Powrót do stanu początkowego”, które zostaną omówione później.
Uruchom ponownie system Ubuntu Linux. Aby to zrobić, wpisz polecenie:
Zrestartuj teraz
Wpisanie i uruchomienie polecenia może zająć kilka sekund, więc bądź cierpliwy.
Zaloguj się do swojego systemu Ubuntu w zwykły sposób, tak jak za każdym razem. Sprawdź, czy wszystko działa jak wcześniej.
Jeśli coś jest nie tak, możesz od razu przejść do pozycji „Powrót do stanu pierwotnego”.
Jeśli wszystko w systemie działa dobrze, wykonaj ostatnie kroki.
Otwórz terminal i wprowadź polecenie usunięcia katalogu tymczasowego. Aby to zrobić, musisz zapamiętać ścieżkę do folderu tymczasowego, który został utworzony podczas szyfrowania katalogu domowego.
Sudo rm -R /home/paddy.ChPzzxqD
Przywróć dane, które usunąłeś (jeśli istnieją) w kroku „Przygotowanie”.
Ponownie otwórz terminal i wprowadź polecenie, aby zaszyfrować partycję wymiany. Jeśli wcześniej miałeś skonfigurowanego użytkownika z szyfrowaniem katalogu domowego, możesz bezpiecznie pominąć ten krok:
sudo ecryptfs-setup-swap
Uruchom ponownie.
Jeśli proces szyfrowania nie powiódł się, konieczne będzie powtórzenie poprzednich kroków.
Uruchom polecenia:
Mount --options remount, rw / mount --all ecryptfs-migrate-home --user paddy
Następnie wprowadź polecenie, aby wyświetlić zawartość folderu tymczasowego utworzonego podczas procesu szyfrowania. Aby to zrobić, musisz ponownie zapamiętać ścieżkę do niego. Nie powinno to generować żadnych błędów. Jeśli tak, potrzebujesz pomocy.
ls -l /home/paddy.ChPzzxqD
Teraz zakończ proces resetowania, wydając trzy polecenia:
Cd /home rm -R paddy .ecryptfs/paddy mv paddy.ChPzzxqD
Uruchom ponownie.
Mam nadzieję, że powyższe kroki ci pomogły. Jeśli masz nierozwiązywalne problemy, możesz opublikować prośbę w moim wątku na forum Ubuntu:
Większość użytkowników często zastanawia się, dlaczego system operacyjny Ubuntu nie przechodzi w stan hibernacji po wykonaniu poprzednich operacji (opisanych wcześniej w tym artykule) i jak przywrócić tę możliwość. Powodem jest skonfigurowane szyfrowanie. Jeśli masz skonfigurowane szyfrowanie katalogu domowego, partycja wymiany jest również szyfrowana, ale przy użyciu losowego klucza. Po przełączeniu systemu w tryb hibernacji dane RAM są przechowywane na partycji wymiany i szyfrowane losowym kluczem. Podczas przywracania systemu ze stanu hibernacji klucz użyty do zaszyfrowania partycji wymiany jest już bezpowrotnie utracony i system nie może odczytać tej partycji. W związku z tym dane nie mogą zostać odzyskane, a powrót do poprzedniego stanu nie jest możliwy.
Jeśli nie masz skonfigurowanego szyfrowania partycji w systemie, przywracanie hibernacji w Ubuntu jest łatwe. Aby to zrobić, po prostu uruchom polecenia:
ls -l /home/paddy.ChPzzxqD rm -R paddy .ecryptfs/paddy
Ale jeśli partycja domowa użytkownika i partycja wymiany są zaszyfrowane w systemie, konieczne jest zastąpienie szyfrowania partycji wymiany nie losowym kluczem, ale wcześniej wybranym hasłem.
Należy jednak pamiętać, że każdy użytkownik komputera będzie musiał znać to hasło podczas uruchamiania systemu.
Próbowałem tej metody w obu przypadkach - zarówno na zwykłym systemie Ubuntu 12.04, jak i na systemie Ubuntu zainstalowanym na wirtualnym wirtualna maszyna. W tym drugim przypadku występowały problemy z wyświetlaniem ekranu podczas przywracania z trybu uśpienia. Ale w zwykłym systemie wszystko działało dobrze.
Wpisz następującą komendę w terminalu:
sudo cryptsetup status crypt swap 1
W rezultacie zobaczysz linię, w której zostanie wyznaczone urządzenie, wyglądającą mniej więcej tak:
/dev/sda1
/dev/sdb5
To urządzenie jest partycją wymiany w twoim systemie. Zapamiętaj to, ponieważ będzie ci później potrzebne.
Zawsze zalecam wykonanie pełnej kopii zapasowej danych za każdym razem, gdy wprowadzasz jakiekolwiek zmiany w systemie. W naszym przypadku również się przyda.
Wprowadź następujące polecenia. Upewnij się, że zastąpiłeś /dev/sdXN partycją wymiany utworzoną w sekcji „Przygotowanie”. Podczas wprowadzania poleceń należy ściśle przestrzegać określonej kolejności:
sudo swapoff /dev/mapper/cryptswap1 sudo cryptsetup luksZamknij /dev/mapper/cryptswap1 sudo cryptsetup luksFormat cipher aes cbc essiv:sha256 zweryfikuj hasło rozmiar klucza 256 /dev/sdXN OSTRZEŻENIE! ======== Spowoduje to nieodwracalne nadpisanie danych w /dev/sda1. Jesteś pewny? (Wpisz wielkie litery tak): TAK Wprowadź hasło LUKS: Sprawdź hasło: sudo cryptsetup luksOpen /dev/sdXN cryptswap1
Wprowadź hasło do urządzenia /dev/sda1 (i powtórz je, aby uniknąć literówki):
sudo mk swap /dev/mapper/crypt swap 1 sudo swapon --all swapon -s
Ostatnie polecenie wyświetli nazwę pliku urządzenia /dev/crypt swap 1 .
Otwórz plik konfiguracyjny /etc/crypttab w preferowanym edytorze. Zamień wiersz crypt swap 1 na następujący (nie zapomnij zmienić /dev/sdXN na swoje urządzenie wymiany):
Cryptswap1 /dev/sdXN żaden luks
Teraz edytuj plik /usr/share/initramfstools/scripts/local-top/cryptroot . Znajdź w nim linię (zwykle ma numer 288, ale może się zmienić):
Komunikat „cryptsetup: nieznany błąd podczas konfigurowania mapowania urządzeń”
Przejdź do następnej pustej linii (przed FSTYPE=") i wstaw nową linię (nie zapomnij zastąpić urządzenia /dev/sdXN):
/sbin/cryptsetup luksOpen /dev/sdXN crypt swap 1
Edytuj plik /etc/acpi/hibetnate.sh . W pierwszym pustym wierszu wklej wartość:
URZĄDZENIE="/dev/mapper/crypt swap 1"
Edytuj plik /etc/initramfstools/conf.d/resume. Zamień istniejącą linię na następującą:
RESUME=/dev/mapper/crypt swap 1
Następnie edytuj plik /etc/polkit1/localauthoriyt/50-local.d/com.ubuntu.enable-hibernate.pkla . Plik początkowo nie istnieje, więc musisz go najpierw utworzyć. Następnie dodaj do niego linie:
Identity=unixuser:* Action=org.freedesktop.upower.hibernate ResultActive=yes
Na koniec otwórz terminal i wprowadź w nim następujące polecenie:
Sudo update initramfs u k all
Ponowne uruchomienie.
Następnym razem, gdy uruchomisz Ubuntu Linux, poprosi Cię o nowe hasło do partycji wymiany. Wprowadź go, a dalszy normalny proces logowania będzie kontynuowany.
Jeśli nagle zapomniałeś hasła, wpisz coś. Po trzy nieudane próby system i tak będzie kontynuował proces logowania, ale bez montowania partycji wymiany. Aby otrzymać nowy słowo kluczowe postępuj zgodnie z instrukcjami w tym artykule instrukcje krok po kroku Ponownie.
Teraz znajdziesz tryb „Hibernacja” w menu zamykania systemu Ubuntu Linux i możesz z niego korzystać. Jeśli chcesz wejść w tryb uśpienia z wiersza poleceń, po prostu wpisz następujące polecenie w terminalu.
To jedyne niezawodny sposób ochrony informacji, w warunkach, w których jest to możliwe fizyczny dostęp obcy do komputera. Dowolne hasło startowe system operacyjny- Windows, Linux lub Mac OS, można zapisać tylko od dzieci. Każdy specjalista ominie ochrona hasła w ciągu kilku minut — mniej więcej tyle, ile potrzeba na podłączenie dysku flash USB do komputera i uruchomienie z niego systemu operacyjnego.
Ale zaszyfrowane dane są znacznie trudniejsze do otwarcia. Lub nawet niemożliwe bez klucza cyfrowego lub hasła. Oczywiście istnieją różne algorytmy szyfrowania i w ramach tych algorytmów występują różne parametry - wszystko to wpływa na odporność na włamanie. Korzystając ze słabych algorytmów lub wrażliwych ustawień, możesz uzyskać dostęp do zaszyfrowanych plików i folderów. Ale w ogólnym przypadku możemy założyć, że szyfrowanie jest niezawodną ochroną danych.
Najczęstszym sposobem ochrony danych jest szyfrowanie plików. Na dysku tworzony jest zaszyfrowany folder i zapisywane są w nim pliki. Teoretycznie jest to niezawodne, jeśli używany jest algorytm AES, klucze są długie. Jednak w przypadku tej metody szyfrowania pozostaje nieoczywista luka w zabezpieczeniach danych. Faktem jest, że system operacyjny pozostaje niezabezpieczony. A to daje atakującemu możliwość zainstalowania się w systemie specjalny program, (keylogger, rootkit), które zostaną uruchomione podczas uruchamiania systemu operacyjnego i monitorują działania użytkownika, a zatem prędzej czy później atakujący otrzyma hasło lub plik klucza, aby uzyskać dostęp do zaszyfrowanych folderów i plików. Lub będzie mógł sam uzyskać te dane po otwarciu przez użytkownika zaszyfrowanego pliku.
Tak więc naprawdę silną ochroną danych na dysku nie jest szyfrowanie pojedyncze pliki i foldery, ale całą partycję. Ponadto dla niezawodnej ochrony konieczne jest zaszyfrowanie całego dysku. Nic nie powinno pozostawać „na powierzchni”. Ten artykuł zawiera instrukcje dotyczące tworzenia zaszyfrowanego pliku partycja systemowa i dysk w systemie operacyjnym Linux Ubuntu.
Zaszyfrowany system plików w systemie Linux jest obsługiwany na poziomie jądra systemu operacyjnego. Oznacza to, że nie musisz szukać wymyślnych programów kryptograficznych, a ponadto korzystać z szyfrowania Partycje Linuksa odbywa się w sposób transparentny - użytkownik nie musi nic wiedzieć o szyfrowaniu i nie musi nic robić, aby zaszyfrować swoje pliki i foldery.
Aby stworzyć silnie zaszyfrowany system pod Linuksem, musisz zrozumieć, które części tego systemu wymagają ochrony. Jest ich czterech:
Wszystkie te obszary wymagają ochrony.
W artykule zostanie omówiona uproszczona konfiguracja - zamieniać I /uruchomić w oddzielnych sekcjach i źródło I /dom połączone w jedną sekcję. Ale w bardziej złożonych przypadkach technologia ochrony będzie taka sama.
Z szyfrowaniem obszarowym rootować, wymieniać I /dom nie ma trudności, ale z ochroną /uruchomić Tam jest problem. Faktem jest, że z tego obszaru program ładujący system uruchamia initrd i Jądro Linuksa. Jeśli ten obszar jest zaszyfrowany, program ładujący nie będzie mógł uruchomić jądra, a zatem system operacyjny nie uruchomi się. Czyli szyfrować /uruchomić jest to niemożliwe, ale również niemożliwe jest pozostawienie go otwartego, ponieważ w takim przypadku możliwa będzie wymiana jądra na inne zawierające złośliwy kod, który przechwyci hasło do odszyfrowania dysku..
Wyjściem jest umieszczenie sekcji /uruchomić na nośniku wymiennym, na dysku flash. Pendrive będzie swego rodzaju elektronicznym kluczem do systemu. Bez niego uruchomienie systemu operacyjnego z zaszyfrowanego dysku będzie niemożliwe. To znaczy ochrona partycji /uruchomić przeprowadzone na poziom fizyczny- wyodrębnienie go z komputera.
Zatem schemat ogólny ochrona to:
Instalacja zaszyfrowanego Ubuntu zostanie przeprowadzona za pomocą przy użyciu Ubuntu na żywo. Dlaczego na żywo? W końcu dystrybucja Alternatywna pozwala zrobić to samo bez tańczenia z tamburynem, w instalatorze są opcje szyfrowania. Osobiście nie podoba mi się to, że Alternate jest tylko dystrybucją instalacyjną, nie można jej już używać - ani do diagnostyki, ani do pracy. Do tego w konsoli działa instalator Alternate, co jest poniekąd archaiczne w XXI wieku. Więc żyj.
Ta instrukcja dotyczy dwóch wersji LTS 10.04 i 12.04, w obu przypadkach wszystko odbywa się w ten sam sposób. Chociaż został przetestowany w praktyce tylko na tych dwóch wersjach, powinien działać również na innych.
Po pobraniu do Live będziesz potrzebować połączenia z Internetem, ponieważ w wydaniach Live nie ma pakietu lvm2 - będziesz musiał go pobrać i zainstalować. Oto przewodnik krok po kroku.
Nawiąż połączenie z Internetem. Następnie uruchom dwa polecenia:
sudo apt-get update
sudo apt-get install lvm2
Możesz pobrać wcześniej, nagrać pakiety libdevmapper-event, lvm2, watershed na dysk flash USB lub dysk, a następnie zainstalować je za pomocą polecenia dpkg. Ale Internet będzie nadal wymagany na ostatnim etapie.
Na dysku twardym musisz utworzyć jedną pustą, nieprzydzieloną partycję w systemie plików. Format dysku może być MS-DOS lub GPT - to nie ma znaczenia. Ta sekcja będzie działać jako kontener kryptograficzny.
Musisz także utworzyć jedną partycję na dysku flash, ale z system plików wew3.
Szyfrowanie całej partycji na dysku twardym odbywa się za pomocą polecenia:
sudo cryptsetup --cipher aes-xts-plain --key-size 512 --verify-passphrase luksFormat /dev/sda1
Ważna uwaga.
To polecenie wyda żądanie i musisz wpisać słowo TAK, aby je potwierdzić, tak po prostu, wielkie litery. Ta prośba ma na celu upewnienie się, że masz dokładnie to, co jest włączone na klawiaturze. język angielski! Następnie musisz dwukrotnie wprowadzić hasło. Ta fraza powinna być długa i nie powinna zawierać często powtarzających się znaków. W idealnym przypadku powinien to być dowolny zestaw liter i cyfr. Lepiej wymyślić to zdanie z wyprzedzeniem, nawet przed rozpoczęciem pracy nad stworzeniem systemu.
Podczas wprowadzania hasła w terminalu nie będą wyświetlane żadne znaki, więc należy je wpisywać ostrożnie. Ale fraza zostanie poproszona dwukrotnie, więc jeśli popełnisz błąd, program to zgłosi.
Po pomyślnym utworzeniu kryptokontenera do dalszej pracy należy podłączyć ten zaszyfrowany dysk:
sudo cryptsetup luksOpen /dev/sda1 crypted
To polecenie wyświetli monit o podanie hasła wprowadzonego w poprzednim poleceniu.
Kolejnym krokiem jest utworzenie zaszyfrowanych partycji wewnątrz kontenera kryptograficznego LUKS. Do tworzenia tych partycji wykorzystywany jest mechanizm LVM.
sudo pvcreate /dev/mapper/crypted
sudo vgcreate ubuntu /dev/mapper/crypted
sudo lvcreate -L 2600M -n swap ubuntu
ssudo lvcreate -l 100% ZA DARMO -n root ubuntu
sudo mkswap /dev/mapper/ubuntu-swap
sudo mkfs.ext3 /dev/mapper/ubuntu-root
Notatka.
Rozmiar partycji wymiany powinien być o około 30% większy niż rozmiar pamięci RAM. Partycja główna ma co najmniej 5-7 gigabajtów.
Po utworzeniu zaszyfrowanych partycji należy uruchomić instalator, którego skrót znajduje się na pulpicie. Instalacja jest normalna, ważne jest jedynie, aby przed uruchomieniem instalatora odmontować dysk flash USB, na którym zostanie zapisany /boot, i poprawnie określić partycje do instalacji.
Musisz odpowiedzieć „Tak” na tę prośbę. To jest dysk flash, na którym będziesz musiał zainstalować partycję /boot. Takie żądanie zostanie wysłane, jeśli zapomnisz odmontować dysk flash przed uruchomieniem instalatora.
A oto jak połączyć sekcje:
Zaszyfrowane partycje do instalacji Ubuntu to /dev/mapper/ubunu-root, /dev/mapper/ubunu-swap. Partycja / rozruch na dysku flash (to jest sdb1).
W oknie instalatora, w kroku 8, musisz kliknąć przycisk „Zaawansowane” i upewnić się, że program ładujący zostanie zainstalowany na dysku flash USB:
W Ubuntu 12.04 zarówno partycje, jak i program ładujący znajdują się w tym samym oknie:
Następnie w oknie kroku 8 kliknij przycisk „Zainstaluj” i poczekaj na zakończenie instalacji. Po zakończeniu instalacji instalator poprosi o ponowne uruchomienie komputera. Nie możesz przeładować! Musisz pozostać w Live Ubuntu. Faktem jest, że w systemie Ubuntu na dysku twardym nie ma zainstalowanego pakietu lvm2, co oznacza, że uruchamianie systemu z twardy dysk będzie niemożliwe.
Aby zainstalować lvm2 w świeżo zainstalowany Ubuntu na dysku twardym, musisz uruchomić następujące polecenia:
sudo mount /dev/mapper/ubuntu-root /mnt
sudo zamontować /dev/sdb1 /mnt/boot
sudo mount -o bind /dev /mnt/dev
sudo mount -t proc proc /mnt/proc
sudo mount -t sysfs sys /mnt/sys
sudo cp /etc/resolv.conf /mnt/etc/resolv.conf
sudo chroot /mnt /bin/bash
echo "crypted UUID=$(ls -la /dev/disk/by-uuid | grep $(basename /dev/sda1) | cut -d " " -f 9) none luks" >> /etc/crypttab
apt-get update
apt-get zainstaluj cryptsetup lvm2
Wyjście
Notatka 1. W Ubuntu 12.04 zamiast wytnij -d " " -f 9 trzeba pisać wytnij -d " " -f 11! Również po echo ... /etc/crypttab , radzę uruchomić cat /etc/crypttab , aby sprawdzić, czy ciąg znaków jest poprawny:
Uwaga 2. Po przedostatnim poleceniu pojawią się komunikaty o błędach, możesz je zignorować.
Teraz możesz ponownie uruchomić komputer i użyć zainstalowanego zaszyfrowanego systemu Ubuntu. Oczywiście w systemie BIOS należy określić rozruch z dysku flash, na którym zainstalowana jest partycja /boot!
W Ubuntu zainstalowanym w ten sposób można nawet korzystać z trybu hibernacji, bez obawy, że zawartość pamięci zrzuconej na dysk stanie się dostępna dla atakującego.
Ważne jest, aby zrozumieć, że nawet przy tak całkowitym szyfrowaniu luki w zabezpieczeniach pozostają.
Konieczne jest również zrozumienie, że szyfrowanie jest ochroną na czas, gdy komputer jest wyłączony i nie ma Cię w pobliżu. Ale kiedy pracujesz na komputerze, pozostaje możliwość dostania się do komputera. złośliwe oprogramowanie z Internetu. Takie programy mogą „kraść” Twoje informacje podczas korzystania z komputera i Internetu.
Dlatego ważne jest podjęcie ogólnych środków ochronnych. Nie „wstydź się” nigdzie w Internecie. Nie instaluj niezweryfikowanych programów. Użyj zapory ogniowej. A w przypadku poważniejszych wymagań bezpieczeństwa musisz użyć tcb I SELinux.
Zrób kopię bootowalny pendrive, najłatwiej jest użyć polecenia dd. Wypal ten obraz na inny dysk flash lub dysk laserowy. Kopia na inny dysk flash jest wygodniejsza, ponieważ w razie potrzeby możesz od razu z niej skorzystać. Ale w każdym razie ta kopia, czymkolwiek jest, będzie musiała być przechowywana w bezpiecznym miejscu. A po aktualizacji jądra lub programu ładującego będziesz musiał zaktualizować kopię dysku flash.
Iwan Suchow, 2012
Podczas pisania tego artykułu wykorzystano informacje z publikacji w
