Boj proti pirátstvu naberá nový impulz. Držitelia autorských práv a vládne agentúry znásobujú svoje úsilie v tejto zložitej záležitosti. Verím, že každý z nás premýšľal o ochrane osobných súborov pred zásahmi „nečakaných hostí“ a jednoducho príliš zvedavých osôb.
Disky zašifrujeme štandardné prostriedky Ubuntu a šifrovací kľúč, ako je oblasť /boot, sa presunú na vymeniteľnú jednotku. Ale prečo šifrovať koreňový oddiel? Koniec koncov, môžete šifrovať iba /home? Má to viacero dôvodov. Prvý je založený na konfiguračné súbory Niektoré informácie môžete získať z /etc, aj keď nejde o citlivé údaje. Druhým je, že ak sa zrazu začnú zaujímať o obsah disku, vždy môžete povedať, že všetko sa tak stalo a disk už bol plný pseudonáhodných údajov. Takže, čo to bude trvať?
Ako algoritmus na šifrovanie disku použijeme AES, pretože je akceptovaný ako štandard a je odolný voči kryptom, a ako prostriedok cryptsetup/LUKS. Aby sme mohli pridať voľné miesto na šifrovaný zväzok, používame logické zväzky (LVM).
Po zavedení z LiveCD si musíte pripraviť flash disk: vytvorte na ňom druhý oddiel, kde sa bude nachádzať /boot a šifrovací kľúč. Vytvorením oddielu /boot s druhým ext2 FS zabijeme dve muchy jednou ranou - prvý oddiel bude viditeľný vo všetkých systémoch a môžete naň ukladať dáta, no druhý oddiel z Windowsu tak ľahko neuvidíte, čo zvedavcom pridáva nepohodlie. Na rozdelenie som použil gparted, ale nikto ti nebráni použiť napríklad fdisk. Potom musíte pripojiť novovytvorený oddiel a vygenerovať ho kľúčový súbor:
Prečo čítať jeden bajt naraz? Ide o to, že bazén náhodné čísla v jadre je pomerne malý a nie vždy obsahuje dostatočné množstvo náhodných dát, takže pri generovaní pohybujete myšou náhodne.
Pozrime sa, čo tento príkaz robí. Prvý kľúč určuje typ hašovacej funkcie, ktorá sa použije na hašovanie hlavného kľúča. Druhý kľúč špecifikuje šifrovací algoritmus a typ. Budem sa tomu venovať trochu podrobnejšie. čo je CBC? Ako viete, AES je bloková šifra, ktorá funguje v blokoch 128, 192 alebo 256 bitov. Spravidla sú však šifrované oveľa väčšie objemy informácií. A nastáva problém – ako zašifrovať, aby nebolo viditeľné nenáhodné rozdelenie, z ktorého môže kryptoanalytik vytiahnuť informácie. Chytrí ľudia to vyriešili takto: prvý blok obsahuje IV - náhodnú sadu bitov. A každý nasledujúci blok otvorených údajov je XOR'd s predchádzajúcim blokom už zašifrovaných údajov. Všetko sa zdá byť v poriadku, ale v prípade šifrovania disku takáto schéma zo zrejmých dôvodov nie je použiteľná (nebudete čakať 10–20 minút zakaždým, kým systém dešifruje požadovanú sekciu?). V LUKS sa ESSIV používa na vyriešenie problému náhodného prístupu k informáciám – relatívne malé bloky údajov sú šifrované (sektor po sektore) a inicializačný vektor sa generuje na základe čísla sektora a kľúča hash. Táto schéma tiež chráni pred niektorými krypto-útokmi. Najmä preto používam LUKS. Potvrdenie vašich zámerov po spustení predchádzajúci príkaz, vytvorte mapovanie zariadenia LUKS:
# cryptsetup -d=/mnt/boot/key.bin luksOpen /dev/sdd cryptodisk |
Prvá fáza prípravy je hotová – teraz sa kryptodisk zariadenie objaví v adresári /dev/mapper, s ktorým možno zaobchádzať ako s bežným diskom.
V zásade teraz môžete nainštalovať Ubuntu na novovytvorený krypto disk, ale ako som už napísal, aby ste mohli zväčšiť priestor, je lepšie vytvoriť na ňom zväzok LVM, čo urobíme. robiť. Inicializujeme fyzický zväzok a vytvoríme skupinu zväzkov:
Teraz ich môžete naformátovať do súborových systémov. Môžete si vybrať sami, ale ja som použil starý dobrý ext4 pre koreňový zväzok aj vg-home - podľa môjho názoru sme už zašli príliš ďaleko na používanie novších súborových systémov:
Jediné, čo musíme urobiť, je nainštalovať Ubuntu na nezašifrovaný oddiel/disk a preniesť ho na šifrovaný.
Teraz ho nastavíme na nešifrované Disk Ubuntu- vykonajte konfiguráciu podľa svojich predstáv, okrem umiestnenia /boot a bootloaderu. Musia byť umiestnené na flash disku, kde máte vopred vytvorený príslušný oddiel. Potom spustíme systém z jednotky Flash, aby sme skontrolovali, či je všetko správne nainštalované, nainštalujte pomocou apt-get balíky lvm2 a cryptsetup - boli odstránené automaticky po inštalácii Ubuntu - a pridať/zmeniť riadky v /etc/fstab. Mali by ste dostať niečo podobné (okrem riadkov s pseudosúborovými systémami, ktoré však moderné systémy Nie):
/etc/fstab UUID = dd7ca139 - 074a - 4b1b - a116 - 3a42feab7459 / boot ext2 defaults 0 2 / dev / mapper / vg - root / ext4 errors = remount - ro 0 1 / dev / mapper / ext4 - home / home 0 1 /dev/mapper/vg - swap žiadne swap sw 0 0 |
Oddiel /boot pripájame podľa UUID, aby pri pridávaní nových diskov nedošlo k zámene s ich názvami. Teraz prejdeme do súboru /etc/crypttab, má približne nasledujúci obsah:
Vytvorme skript, aby sme nemuseli znova pripájať flash disk:
Skopírujte kľúč a nastavenie šifrovania
cp / boot / key .bin $ ( DESTDIR ) / etc / crypto copy_exec / sbin / cryptsetup / sbin |
A skutočný skript na pripojenie kryptodisk (spustený počas načítania initrd):
/etc/initramfs - tools/scripts/local - top/cryptokeys. . . modprobe - b dm_crypt while ! /sbin/cryptsetup - d= /etc/crypto/key .bin luksOpen /dev/disk/by - uuid /c34e4c91 - 1fa1 - 4802 - 88ca - 9c3be5c99097 cryptodisk ; do echo "Skús znova..." hotovo |
Slučka while je potrebná, ak neskôr pridáte odomknutie zväzku heslom. Oba skripty musia byť spustiteľné, inak ich nasledujúci príkaz neuvidí a vytvorí štandardný obrázok. Teraz môžete zadať príkaz initrd update:
# update initrd -u -k all -v |
Takmer sme zabudli na konfiguráciu zavádzača. Existujú dva spôsoby, ako ho upraviť: jeden je jednoduchý, ale nesprávny – priama úprava súboru /boot/grub/grub.cfg, druhý je tiež jednoduchý, ale tentoraz správny. Nesprávnosť prvej metódy spočíva v tom, že pri každej aktualizácii jadra sa konfigurácia prepíše pomocou skriptov z /etc/grub.d/. Pôjdeme inou cestou – pridáme skript, ktorý vygeneruje správne riadky v skutočnej konfigurácii Grabov. Je tu však jedno „ale“ - pri aktualizácii jadra ho budete musieť zakaždým zmeniť, alebo zostať pri starom (podľa môjho názoru je vhodnejšie to druhé - pozri bočný panel). Takto vyzerajú jeho riadky:
/etc/grub.d/40_custom menuentry "Ubuntu crypto" ( recordfail = 1 if [ - n $ ( have_grubenv ) ] ; then save_env recordfail ; fi set quiet = 1 insmod part_msdos insmod ext2 insmod gzio |
UUID je prevzaté z vopred nahraného súboru
vyhľadávanie -- no - floppy -- fs - uuid -- set = root dd7ca139 - 074a - 4b1b - a116 - 3a42feab7459 |
Oddiel /boot pre Grub sa považuje za koreňový oddiel, takže cesty k obrazu jadra a initrd sú špecifikované relatívne k nemu
Ak chcete, môžete vypnúť položky ponuky, ktoré nepotrebujete. Ak to chcete urobiť, jednoducho odstráňte povolenie na spustenie zo všetkých nepotrebných skriptov v /etc/grub.d/. Teraz môžete aktualizovať hlavnú konfiguráciu:
Po skopírovaní sa môžete pokúsiť zaviesť systém z flash disku - stačí vybrať položku ponuky Ubuntu crypto. Ak všetko prebehlo dobre, po určitom čase sa zobrazí výzva na prihlásenie. V tomto prípade vám môžem zablahoželať – už pracujete v šifrovanom systéme.
Povedzme, že ste potrebovali zmeniť kľúč – kompromitovali ste ho alebo ste jednoducho vytvorili politiku zmien a chcete ju striktne dodržiavať. Čo je k tomu potrebné? V prvom rade urobte záložná kópia Hlavička hlasitosti LUKS - ak všetko pôjde dobre, po výmene kľúča ju môžete zničiť. Robíme to, samozrejme, na nezašifrovanom oddiele:
Pozeráme sa na aktuálne keysloty (miesta v hlavičke zašifrovaného zväzku, kde sú uložené kľúče – áno, áno, môže ich byť viac) a zapamätáme si aktívne číslo (Enabled). Zvyčajne je to nula.
Semenenko V.
Keď si nainštalujete operačný systém Ubuntu, možno vás nenapadne nastaviť na ňom šifrovanie údajov. Alebo môže nastať situácia, že do systému pridáte používateľa bez zašifrovania jeho domovského adresára. Teraz ste však zmenili názor a rozhodli ste sa nakonfigurovať ochranu pre tento adresár. Inými slovami, vy (alebo iný používateľ počítača) to chcete mať momentálne nie...
Ako môžete pridať možnosti šifrovania k už nainštalovanému Systém Ubuntu Linux?
Našťastie je to celkom jednoduché implementovať. Ak to chcete urobiť, postupujte podľa troch základných krokov:
Akcie opísané v tomto článku boli vykonané na plne aktualizovanom systéme Ubuntu Precise 12.04.
Kvôli aktuálne existujúcej chybe Ubuntu Linux nemôžete sa prihlásiť, ak je grafika prihlasovacieho okna v zašifrovanom domovskom priečinku používateľa. Ak používateľ zmenil predvolený vzhľad, uistite sa, že sa nenachádza ani v domovskom priečinku daného používateľa.
Vytvorenie zašifrovanej kópie domovského adresára používateľa je bezpečný postup. Je však potrebné poznamenať, že na vykonanie tejto úlohy je potrebné určité množstvo miesta na pevnom disku. Ak zistíte, že je tam príliš málo miesta, musíte si vytvoriť záložnú kópiu údajov, potom z nej odstrániť všetky veľké súbory (napríklad filmy) a po dokončení šifrovania ich z tejto kópie obnoviť. Vo všeobecnosti odporúčam zálohovať si všetky dáta, aby ste predišli prípadným problémom.
Pomocou svojho obľúbeného správcu balíkov nainštalujte program encrypt-utils.
V tomto návode použijem prihlasovacie meno paddy ako používateľské meno, ktorého údaje sa použijú na vykonávanie akcií. Musíte ho nahradiť menom používateľa, ktorého domovský adresár bude zašifrovaný.
Reštartujte Ubuntu Linux a prejdite do „režimu obnovenia“ ( Režim obnovenia). Malý tip – kým sa systém začína spúšťať, stlačením a podržaním klávesu Shift otvorte ponuku Grub. Riadok „Recovery Mode“ sa zvyčajne nachádza na druhom mieste v zozname tohto zavádzača.
V ponuke režimu obnovenia vyberte možnosť „Drop“, aby sa zobrazila výzva príkazový riadok Pre účtu koreň.
Ak chcete opraviť softvérovú chybu uvedenú na začiatku tohto článku, zadajte nasledujúce dva príkazy:
mount --options remount,rw /
mount --all
Teraz môžete vytvoriť šifrovanú kópiu domovského adresára používateľa paddy. Ak to chcete urobiť, zadajte príkaz nižšie. Zároveň si dajte tú námahu zapamätať si svoje vlastné heslo, keďže túto pomôcku bude vyžadovať vykonanie operácie:
Po dokončení procesu šifrovania sa zobrazí niekoľko upozornení. Môžete ich ignorovať. Budete si však musieť zapamätať cestu k dočasnému priečinku vytvorenému týmto príkazom. Bude to vyzerať asi takto: /home/paddy.ChPzzxqD
V tomto prípade je posledných osem znakov (za bodkou) náhodná množina. Tento adresár budete potrebovať v nasledujúcich krokoch „Dokončenie“ alebo „Návrat do pôvodný stav“, o ktorom sa bude diskutovať neskôr.
Reštartujte svoj systém Ubuntu Linux. Ak to chcete urobiť, zadajte príkaz: reštartujte teraz
Zadanie a spustenie príkazu môže trvať niekoľko sekúnd, takže buďte trpezliví.
Prihláste sa do svojho systému Ubuntu obvyklým spôsobom, ktorý ste robili zakaždým. Skontrolujte, či všetko funguje ako predtým.
Ak niečo nie je v poriadku, môžete okamžite prejsť na položku „Návrat do pôvodného stavu“.
Ak všetko v systéme funguje správne, vykonajte posledné kroky.
Otvorte terminál a zadajte príkaz na odstránenie dočasného adresára. Ak to chcete urobiť, budete si musieť zapamätať cestu k dočasnému priečinku, ktorý bol vytvorený pri šifrovaní vášho domovského adresára.
sudo rm -R /home/paddy.ChPzzxqD
Obnovte údaje, ktoré ste odstránili (ak nejaké existujú) v kroku „Príprava“.
Znova otvorte terminál a zadajte príkaz na zašifrovanie odkladacieho oddielu. Ak ste už mali používateľa s nakonfigurovaným šifrovaním domovského adresára, môžete ho pokojne preskočiť tento krok: sudo ecryptfs-setup-swap
Reštartujte znova.
Ak bol proces šifrovania dokončený s chybami, budete musieť zopakovať predchádzajúce kroky.
Spustite príkazy:
mount --options remount,rw /
mount --all
ecryptfs-migrate-home --user paddy
Potom zadajte príkaz na zobrazenie obsahu dočasného priečinka vytvoreného počas procesu šifrovania. Aby ste to dosiahli, budete si musieť znova zapamätať cestu k nemu. Nemali by sa objaviť žiadne chyby. Ak sa objavia, budete potrebovať pomoc.
ls -l /home/paddy.ChPzzxqD
Teraz dokončite proces resetovania spustením troch príkazov:
cd /home
rm -R paddy .ecryptfs/paddy
mv paddy.ChPzzxqD
Reštartujte znova.
Dúfam, že vám vyššie uvedené kroky pomohli. Ak máte nevyriešené problémy, môžete odoslať žiadosť na mojom vlákne fóra Ubuntu.
Väčšina používateľov sa často pýta, prečo operačný systém Ubuntu nemá režim dlhodobého spánku po vykonaní predchádzajúcich operácií (popísaných vyššie v tomto článku) a ako túto funkciu obnoviť. Dôvodom je nakonfigurované šifrovanie. Ak ste nakonfigurovali šifrovanie pre váš domovský adresár, odkladací oddiel je tiež zašifrovaný, ale pomocou náhodného kľúča. Keď prepnete systém do režimu dlhodobého spánku, dáta RAM sú uložené vo swapovej oblasti a sú šifrované náhodným kľúčom. Keď sa systém obnoví z režimu spánku, kľúč, ktorý bol použitý na zašifrovanie odkladacieho oddielu, je už navždy stratený a systém nemôže tento oddiel prečítať. V dôsledku toho nie je možné získať údaje a návrat do predchádzajúceho stavu nie je možný.
Ak váš systém nie je nakonfigurovaný na šifrovanie oddielov, potom je obnovenie schopnosti hibernácie v Ubuntu jednoduché. Ak to chcete urobiť, stačí spustiť príkazy: ls -l /home/paddy.ChPzzxqD
rm -R paddy .ecryptfs/paddy
Ale ak systém zašifruje domácu partíciu používateľa a swap partíciu, je potrebné nahradiť šifrovanie swapovej partície nie náhodným kľúčom, ale vopred vybranou prístupovou frázou.
Upozorňujeme však, že každý používateľ počítača bude musieť pri zavádzaní systému poznať túto prístupovú frázu.
Skúsil som to túto metódu v oboch prípadoch - ako v normálny systém Ubuntu 12.04 a v systéme Ubuntu nainštalovanom na virtuálny stroj VirtualBox. V druhom prípade sa vyskytli problémy so zobrazením obrazovky pri obnovení režimu spánku. Ale na bežnom systéme všetko fungovalo dobre.
Do terminálu zadajte nasledujúci príkaz: sudo cryptsetup status crypt vymeniť 1
V dôsledku toho uvidíte riadok označujúci zariadenie, ktoré vyzerá asi takto: /dev/sda1
alebo /dev/sdb5
Toto zariadenie je odkladací oddiel vo vašom systéme. Pamätajte si to, pretože to budete potrebovať neskôr.
Pri akýchkoľvek zmenách v systéme vždy odporúčam vykonať komplet zálohovanieúdajov. V našom prípade to bude tiež užitočné.
Zadajte nasledujúce príkazy. Uistite sa, že ste zariadenie /dev/sdXN nahradili vašou odkladacou oblasťou vytvorenou v časti „Príprava“. Pri zadávaní príkazov by ste mali prísne dodržiavať určenú postupnosť:
sudo swapoff /dev/mapper/cryptswap1
sudo cryptsetup luksClose /dev/mapper/cryptswap1
sudo cryptsetup luksFormat šifra aes cbc essiv:sha256 overiť veľkosť kľúča prístupovej frázy 256 /dev/sdXN
POZOR!
========
Tým sa neodvolateľne prepíšu údaje na /dev/sda1.
si si istý? (Napíšte veľké písmená áno): ÁNO
Zadajte prístupovú frázu LUKS:
Overiť prístupovú frázu:
sudo cryptsetup luksOpen /dev/sdXN cryptswap1
Zadajte prístupovú frázu pre zariadenie /dev/sda1 (a zopakujte ju, aby ste sa vyhli preklepom):
sudo mk vymeniť/dev/mapper/crypt vymeniť 1
sudo swapon všetko
swapon s
Posledný príkaz zobrazí názov súboru zariadenia /dev/crypt swap 1 .
Otvorte súbor nastavení /etc/crypttab vo vašom preferovanom editore. Nahraďte riadkový crypt swap 1 nasledujúcim (nezabudnite nahradiť /dev/sdXN vaším swapovacím zariadením): cryptswap1 /dev/sdXN žiadne luks
Teraz upravte súbor /usr/share/initramfstools/scripts/local-top/cryptroot. V ňom nájdite riadok (zvyčajne má číslo 288, ale môže sa zmeniť): správa "cryptsetup: neznáma chyba pri nastavovaní mapovania zariadenia"
Prejsť na ďalšiu prázdny riadok(pred FSTYPE=") a prilepte nový riadok(nezabudnite vymeniť zariadenie /dev/sdXN): /sbin/cryptsetup luksOtvorte /dev/sdXN crypt vymeniť 1
Upravte súbor /etc/acpi/hibetnate.sh. Do prvého prázdneho riadku vložte hodnotu: DEVICE="/dev/mapper/crypt vymeniť 1"
Upravte súbor /etc/initramfstools/conf.d/resume. Nahraďte existujúci riadok nasledujúcim: RESUME=/dev/mapper/crypt vymeniť 1
Potom upravte súbor /etc/polkit1/localauthoriyt/50-local.d/com.ubuntu.enable-hibernate.pkla. Súbor pôvodne neexistuje, takže ho budete musieť najskôr vytvoriť. Potom doň pridajte riadky:
Identita=unixuser:*
Action=org.freedesktop.upower.hibernate
ResultActive=áno
Nakoniec otvorte terminál a zadajte nasledujúci príkaz: sudo update initramfs u k all
Reštartujte.
Pri ďalšom spustení Ubuntu Linux sa zobrazí výzva na zadanie novej prístupovej frázy výmeny. Zadajte ho a normálny proces prihlásenia bude pokračovať.
Používanie cloudové disky, používatelia sa čoraz viac zaujímajú o šifrovanie v linuxové distribúcie. Predstavím vám zaujímavý program„šifrovacie oblaky“.
Premýšľali ste niekedy nad tým, že čisto teoreticky sa tie súbory, ktoré ukladáte do cloudového úložiska, čisto technicky, môžu za určitých okolností stať verejne známymi v priebehu niekoľkých minút. Ja osobne nie som a so všetkou mojou charakteristickou absenciou paranoje zverejňujem tieto informácie výhradne pre tých, ktorí sú „už sú v hnaní ZOG“, pretože ako povedal starý vtip: „Ak nemáte paranoju, toto áno neznamená to, že nie ste prenasledovaní." Tak ma nasleduj. Priatelia.
IN Linuxové šifrovanie disk sa implementuje rôznymi spôsobmi a na rôznych úrovniach. Existujú stovky spôsobov, ako zašifrovať celý disk. Ukážem vám prácu programu, ktorý sa mi páčil a ktorý dokáže rozlúštiť aj noob ako ja. Táto aplikácia sa nazýva Kryptomátor.
Prečo sa mi páčil:
V skutočnosti dochádza k šifrovaniu lokálny počítač a potom sa synchronizuje s cloudom, takže aj keď váš cloudové úložisko Ak niekto získa prístup, zobrazí sa mu súbor súborov a priečinkov s nezmyselným názvom a rovnakým obsahom.
Táto aplikácia sa mi páčila z dvoch dôvodov, prvým je zaujímavá a pohodlná implementácia pripojenia šifrovaných kontajnerov ako virtuálneho pevného disku. Vykonáva sa podľa typu pripojenia Úložisko USB. A druhý je multiplatformový, kryptomátor je dostupný pre Linux, Windows a Mac OS. Teda ak máte doma Linux, zapnutý Práca na Macu OS a na dovolenke pri návšteve Windowsu môžete ľahko pristupovať k svojim cloudovým šifrovaným súborom jednoduchou inštaláciou Cryptomatora a zadaním hesla do neho.
Ak chcete nainštalovať na Ubuntu a deriváty, zadajte do terminálu:
#pridať úložisko sudo add-apt-repository ppa:sebastian-stenzel/cryptomator #update zoznamy balíčkov úložiska sudo apt-get update #directly install Cryptomator sudo apt-get install cryptomator
Inštalácia v Arch Linux a jeho deriváty sú jednoduché, ako vždy
Kryptomátor Yaourt -S #Nebudem písať o pacaur a to je jasné
Inštalácia na Fedora, Centos a ďalšie rpm distribúcie prebieha jednoduchým stiahnutím binárneho rpm balíčka a jeho skutočnou inštaláciou.
Stiahnite si balík rpm
Použitie Cryptomator
Takto vyzerá vytvorenie nového úložiska
Výber adresára, v ktorom sa vytvorí šifrovaný adresár Tento adresár môže byť lokálny alebo synchronizovaný adresár vášho cloudového úložiska.
Vytvárame spoľahlivý kľúč, ktorý v budúcnosti použijeme na pripojenie nášho šifrovaného úložiska.
Potom už zostáva len zadať novovytvorený kľúč a zašifrovaný oddiel sa pripojí.
Na snímke obrazovky vyššie som do pripojeného šifrovacieho priečinka hodil balík so súbormi s veľkosťou 536,9 megabajtov a spracoval túto kopu malých súborov za 1 minútu.
Keď si nainštalujete operačný systém Ubuntu, možno vás nenapadne nastaviť na ňom šifrovanie údajov. Alebo môže nastať situácia, že do systému pridáte používateľa bez zašifrovania jeho domovského adresára. Teraz ste však zmenili názor a rozhodli ste sa nakonfigurovať ochranu pre tento adresár. Inými slovami, vy (alebo iný používateľ v počítači) chcete mať možnosť, ktorá momentálne neexistuje...
Ako môžete pridať možnosti šifrovania do už nainštalovaný systém Ubuntu Linux?
Našťastie je to celkom jednoduché implementovať. Ak to chcete urobiť, postupujte podľa troch základných krokov:
Akcie opísané v tomto článku boli vykonané na plne aktualizovanom systéme Ubuntu Precise 12.04.
Kvôli aktuálnej chybe v Ubuntu Linux sa nemôžete prihlásiť, ak je grafika prihlasovacieho okna v zašifrovanom domovskom priečinku používateľa. Ak používateľ zmenil predvolený vzhľad, uistite sa, že sa nenachádza ani v domovskom priečinku daného používateľa.
Vytvorenie zašifrovanej kópie domovského adresára používateľa je bezpečný postup. Je však potrebné poznamenať, že na vykonanie tejto úlohy je potrebné určité množstvo miesta na pevnom disku. Ak zistíte, že je tam príliš málo miesta, musíte si vytvoriť záložnú kópiu údajov, potom z nej odstrániť všetky veľké súbory (napríklad filmy) a po dokončení šifrovania ich z tejto kópie obnoviť. Vo všeobecnosti odporúčam zálohovať si všetky dáta, aby ste predišli prípadným problémom.
Pomocou svojho obľúbeného správcu balíkov nainštalujte program encrypt-utils.
V tomto návode použijem prihlasovacie meno paddy ako používateľské meno, ktorého údaje sa použijú na vykonávanie akcií. Musíte ho nahradiť menom používateľa, ktorého domovský adresár bude zašifrovaný.
Reštartujte Ubuntu Linux a prejdite do režimu obnovenia. Malý tip – kým sa systém začína spúšťať, stlačením a podržaním klávesu Shift otvorte ponuku Grub. Riadok „Recovery Mode“ sa zvyčajne nachádza na druhom mieste v zozname tohto zavádzača.
V ponuke režimu obnovenia vyberte možnosť „Drop“, aby sa zobrazil príkazový riadok pre účet root.
Ak chcete opraviť softvérovú chybu uvedenú na začiatku tohto článku, zadajte nasledujúce dva príkazy:
Mount --options remount,rw / mount --all
Teraz môžete vytvoriť šifrovanú kópiu domovského adresára používateľa paddy. Ak to chcete urobiť, zadajte príkaz nižšie. Zároveň si dajte námahu zapamätať si svoje vlastné heslo, pretože tento nástroj ho bude vyžadovať na vykonanie operácie:
Ecryptfs-migrate-home --user paddy
Po dokončení procesu šifrovania sa zobrazí niekoľko upozornení. Môžete ich ignorovať. Budete si však musieť zapamätať cestu k dočasnému priečinku vytvorenému týmto príkazom. Bude to vyzerať asi takto:
/home/paddy.ChPzzxqD
V tomto prípade je posledných osem znakov (za bodkou) náhodná množina. Tento adresár budete potrebovať v nasledujúcich krokoch „Dokončiť“ alebo „Vrátiť sa do pôvodného stavu“, o ktorých sa bude diskutovať neskôr.
Reštartujte svoj systém Ubuntu Linux. Ak to chcete urobiť, zadajte príkaz:
Reštartujte teraz
Zadanie a spustenie príkazu môže trvať niekoľko sekúnd, takže buďte trpezliví.
Prihláste sa do svojho systému Ubuntu obvyklým spôsobom, ktorý ste robili zakaždým. Skontrolujte, či všetko funguje ako predtým.
Ak niečo nie je v poriadku, môžete okamžite prejsť na položku „Návrat do pôvodného stavu“.
Ak všetko v systéme funguje správne, vykonajte posledné kroky.
Otvorte terminál a zadajte príkaz na odstránenie dočasného adresára. Ak to chcete urobiť, budete si musieť zapamätať cestu k dočasnému priečinku, ktorý bol vytvorený pri šifrovaní vášho domovského adresára.
Sudo rm -R /home/paddy.ChPzzxqD
Obnovte údaje, ktoré ste odstránili (ak nejaké existujú) v kroku „Príprava“.
Znova otvorte terminál a zadajte príkaz na zašifrovanie odkladacieho oddielu. Ak ste už mali používateľa s nakonfigurovaným šifrovaním domovského adresára, tento krok môžete pokojne preskočiť:
Sudo ecryptfs-setup-swap
Reštartujte znova.
Ak bol proces šifrovania dokončený s chybami, budete musieť zopakovať predchádzajúce kroky.
Spustite príkazy:
Mount --options remount,rw / mount --all ecryptfs-migrate-home --user paddy
Potom zadajte príkaz na zobrazenie obsahu dočasného priečinka vytvoreného počas procesu šifrovania. Aby ste to dosiahli, budete si musieť znova zapamätať cestu k nemu. Nemali by sa objaviť žiadne chyby. Ak sa objavia, budete potrebovať pomoc.
Ls -l /home/paddy.ChPzzxqD
Teraz dokončite proces resetovania spustením troch príkazov:
Cd /home rm -R paddy .ecryptfs/paddy mv paddy.ChPzzxqD
Reštartujte znova.
Dúfam, že vám vyššie uvedené kroky pomohli. Ak máte nevyriešené problémy, môžete odoslať žiadosť na mojom vlákne fóra Ubuntu:
Väčšina používateľov sa často pýta, prečo operačný systém Ubuntu nemá režim dlhodobého spánku po vykonaní predchádzajúcich operácií (popísaných vyššie v tomto článku) a ako túto funkciu obnoviť. Dôvodom je nakonfigurované šifrovanie. Ak ste nakonfigurovali šifrovanie pre váš domovský adresár, odkladací oddiel je tiež zašifrovaný, ale pomocou náhodného kľúča. Keď prepnete systém do režimu hibernácie, údaje RAM sa uložia do odkladacieho oddielu a zašifrujú sa náhodným kľúčom. Keď sa systém obnoví z režimu spánku, kľúč, ktorý bol použitý na zašifrovanie odkladacieho oddielu, je už navždy stratený a systém nemôže tento oddiel prečítať. V dôsledku toho nie je možné získať údaje a návrat do predchádzajúceho stavu nie je možný.
Ak váš systém nie je nakonfigurovaný na šifrovanie oddielov, potom je obnovenie schopnosti hibernácie v Ubuntu jednoduché. Ak to chcete urobiť, stačí spustiť príkazy:
Ls -l /home/paddy.ChPzzxqD rm -R paddy .ecryptfs/paddy
Ale ak systém zašifruje domácu partíciu používateľa a swap partíciu, je potrebné nahradiť šifrovanie swapovej partície nie náhodným kľúčom, ale vopred vybranou prístupovou frázou.
Upozorňujeme však, že každý používateľ počítača bude musieť pri zavádzaní systému poznať túto prístupovú frázu.
Túto metódu som vyskúšal v oboch prípadoch – na bežnom systéme Ubuntu 12.04 aj na systéme Ubuntu nainštalovanom na virtuálnom stroj VirtualBox. V druhom prípade sa vyskytli problémy so zobrazením obrazovky pri obnovení režimu spánku. Ale na bežnom systéme všetko fungovalo dobre.
Do terminálu zadajte nasledujúci príkaz:
Sudo cryptsetup status crypt swap 1
V dôsledku toho uvidíte čiaru označujúcu zariadenie, ktoré vyzerá asi takto:
/dev/sda1
/dev/sdb5
Toto zariadenie je odkladací oddiel vo vašom systéme. Pamätajte si to, pretože to budete potrebovať neskôr.
Pri akýchkoľvek zmenách v systéme vždy odporúčam vykonať úplnú zálohu vašich dát. V našom prípade to bude tiež užitočné.
Zadajte nasledujúce príkazy. Uistite sa, že ste zariadenie /dev/sdXN nahradili vašou odkladacou oblasťou vytvorenou v časti „Príprava“. Pri zadávaní príkazov by ste mali prísne dodržiavať určenú postupnosť:
Sudo swapoff /dev/mapper/cryptswap1 sudo cryptsetup luksClose /dev/mapper/cryptswap1 sudo cryptsetup luksFormat šifra aes cbc essiv:sha256 overiť veľkosť kľúča prístupovej frázy 256 /dev/sdXN VAROVANIE! ======== Týmto sa neodvolateľne prepíšu údaje na /dev/sda1. si si istý? (Zadajte veľké písmená áno): ÁNO Zadajte prístupovú frázu LUKS: Overte prístupovú frázu: sudo cryptsetup luksOpen /dev/sdXN cryptswap1
Zadajte prístupovú frázu pre zariadenie /dev/sda1 (a zopakujte ju, aby ste sa vyhli preklepom):
Sudo mk swap /dev/mapper/crypt swap 1 sudo swapon --all swapon -s
Posledný príkaz zobrazí názov súboru zariadenia /dev/crypt swap 1 .
Otvorte súbor nastavení /etc/crypttab vo vašom preferovanom editore. Nahraďte riadkový crypt swap 1 nasledujúcim (nezabudnite nahradiť /dev/sdXN vaším swapovacím zariadením):
Cryptswap1 /dev/sdXN žiadne šťastie
Teraz upravte súbor /usr/share/initramfstools/scripts/local-top/cryptroot. Nájdite v ňom riadok (zvyčajne má číslo 288, ale môže sa zmeniť):
Správa „cryptsetup: neznáma chyba pri nastavovaní mapovania zariadenia“
Prejdite na ďalší prázdny riadok (pred FSTYPE=") a vložte nový riadok (nezabudnite nahradiť zariadenie /dev/sdXN):
/sbin/cryptsetup luksOpen /dev/sdXN crypt swap 1
Upravte súbor /etc/acpi/hibetnate.sh. Do prvého prázdneho riadku vložte hodnotu:
DEVICE="/dev/mapper/crypt swap 1"
Upravte súbor /etc/initramfstools/conf.d/resume. Nahraďte existujúci riadok nasledujúcim:
RESUME=/dev/mapper/crypt swap 1
Potom upravte súbor /etc/polkit1/localauthoriyt/50-local.d/com.ubuntu.enable-hibernate.pkla. Súbor pôvodne neexistuje, takže ho budete musieť najskôr vytvoriť. Potom doň pridajte riadky:
Identity=unixuser:* Action=org.freedesktop.upower.hibernate ResultActive=yes
Nakoniec otvorte terminál a zadajte nasledujúci príkaz:
Sudo update initramfs u k all
Reštartujte.
Pri ďalšom spustení Ubuntu Linux sa zobrazí výzva na zadanie novej prístupovej frázy výmeny. Zadajte ho a normálny proces prihlásenia bude pokračovať.
Ak náhodou zabudnete svoju prístupovú frázu, zadajte niečo. Po tri neúspešné pokusy systém bude v každom prípade pokračovať v procese prihlásenia, ale bez pripojenia odkladacieho oddielu. Na získanie nového kľúčové slovo postupujte podľa krokov popísaných v tomto článku pokyny krok za krokom znova.
Teraz nájdete režim „Hibernate“ v ponuke vypnutia Ubuntu Linux a môžete ho použiť. Ak chcete prejsť do režimu hibernácie z príkazového riadku, stačí zadať nasledujúci príkaz do terminálu.
Toto je jediné spoľahlivým spôsobom ochrany informácií v podmienkach, kde je to možné fyzický prístup cudzinci k počítaču. Akékoľvek heslo pri spustení operačný systém- Windows, Linux alebo Mac OS vás môžu zachrániť len pred deťmi. Každý špecialista to obíde ochrana heslom za pár minút – približne rovnako dlho trvá pripojenie flash disku do počítača a načítanie operačného systému z neho.
Zašifrované údaje sa však otvárajú oveľa ťažšie. Alebo dokonca nemožné bez digitálneho kľúča alebo prístupovej frázy. Samozrejme, existujú rôzne šifrovacie algoritmy a v rámci týchto algoritmov existujú rôzne parametre - to všetko ovplyvňuje odolnosť voči hackingu. Pri použití slabých algoritmov alebo zraniteľných parametrov môžete získať prístup k zašifrovaným súborom a priečinkom. Vo všeobecnosti však môžeme predpokladať, že šifrovanie je spoľahlivou ochranou údajov.
Najbežnejším spôsobom ochrany údajov je šifrovanie súborov. Na disku sa vytvorí zašifrovaný priečinok a zapíšu sa doň súbory. Teoreticky je to bezpečné, ak sa používa algoritmus AES a kľúče sú dlhé. Pri tejto metóde šifrovania však zostáva zjavná zraniteľnosť údajov. Faktom je, že operačný systém zostáva nechránený. A to dáva útočníkovi možnosť nainštalovať sa do systému špeciálny program, (keylogger, rootkit), ktorý sa spustí pri štarte OS a bude monitorovať akcie používateľa a teda skôr či neskôr útočník získa heslo alebo súbor kľúča na prístup k zašifrovaným priečinkom a súborom. Alebo bude môcť tieto údaje získať sám po tom, čo používateľ otvorí zašifrovaný súbor.
To znamená, že skutočne silná ochrana dát na disku nie je šifrovaním. samostatné súbory a priečinky, ale celú sekciu. Navyše pre spoľahlivú ochranu Vyžaduje sa šifrovanie celého disku. Nič by nemalo zostať „na povrchu“. Tento článok poskytne pokyny na vytvorenie šifrovaného súboru systémový oddiel a disk v OS Linux Ubuntu.
Šifrovaný súborový systém v Linuxe je podporovaný na úrovni jadra operačného systému. To znamená, že nie je potrebné hľadať žiadne vymyslené kryptografické programy a navyše používanie šifrovaných Linuxové oddiely prebieha transparentne – používateľ nemusí vedieť nič o šifrovaní a nemusí robiť nič pre šifrovanie svojich súborov a priečinkov.
Ak chcete vytvoriť spoľahlivý šifrovaný systém pre Linux, musíte pochopiť, ktoré časti tohto systému je potrebné chrániť. Sú štyri z nich:
Všetky tieto oblasti je potrebné chrániť.
V tomto článku sa bude diskutovať o zjednodušenej konfigurácii - vymeniť A /boot na samostatných úsekoch a koreň A /domov kombinované na jednej sekcii. Ale pre zložitejšie prípady bude technológia ochrany rovnaká.
S plošným šifrovaním root, swap A /domov nie sú žiadne ťažkosti, ale s ochranou /boot vyskytol sa problém. Faktom je, že z tejto oblasti zavádzač systému spúšťa initrd a Linuxové jadro. Ak je táto oblasť zašifrovaná, bootloader nebude môcť spustiť jadro, a preto nebude možné spustiť OS. Teda zašifrovať /boot je to nemožné, ale ani to nie je možné nechať otvorené, pretože v tomto prípade bude možné nahradiť jadro iným obsahujúcim škodlivý kód, ktorý zachytí heslo na dešifrovanie disku.
Riešením je umiestnenie sekcie /boot na vymeniteľné médium, na flash disk. Flash disk bude akýmsi elektronickým kľúčom k systému. Bez neho nebude možné spustiť operačný systém zo šifrovaného disku. Teda ochrana oddielov /boot vykonaná dňa fyzickej úrovni- odstránenie z počítača.
Teda všeobecná schéma ochrana je:
Inštalácia šifrovaného Ubuntu sa vykoná pomocou pomocou Ubuntu Naživo. Prečo žiť? Koniec koncov, alternatívna distribúcia vám umožňuje urobiť to isté bez tanca s tamburínou, v inštalačnom programe sú možnosti šifrovania. Osobne sa mi nepáči, že Alternate je výlučne inštalačná distribúcia, nedá sa použiť inak - ani na diagnostiku, ani na prácu. Navyše v konzole funguje alternatívny inštalátor a to je v 21. storočí akosi archaické. Tak naživo.
Táto inštrukcia platí pre dve vydania LTS 10.04 a 12.04, v oboch prípadoch sa všetko robí rovnakým spôsobom. Hoci v praxi testovaný iba na týchto dvoch vydaniach, mal by fungovať aj na ďalších.
Po stiahnutí do Live budete potrebovať internetové pripojenie, pretože Live vydania neobsahujú balík lvm2 – budete si ho musieť stiahnuť a nainštalovať. Takže pokyny sú krok za krokom.
Vytvorte internetové pripojenie. Potom spustite dva príkazy:
aktualizácia sudo apt-get
sudo apt-get install lvm2
Balíky libdevmapper-event, lvm2, watershed si môžete stiahnuť vopred, zapísať na flash disk alebo na disk a potom ich nainštalovať pomocou príkazu dpkg. V záverečnej fáze však bude stále potrebný internet.
Na pevnom disku musíte vytvoriť jednu prázdnu oblasť, ktorá nie je rozdelená do systému súborov. Formát disku môže byť MS-DOS alebo GPT - na tom nezáleží. Táto sekcia bude slúžiť ako krypto kontajner.
Musíte tiež vytvoriť jeden oddiel na jednotke flash, ale s súborový systém Ext3.
Šifrovanie celého oddielu na pevnom disku sa vykonáva pomocou príkazu:
sudo cryptsetup --cipher aes-xts-plain --key-size 512 --verify-passphrase luksFormat /dev/sda1
Dôležitá poznámka.
Tento príkaz vydá požiadavku a na jej potvrdenie je potrebné zadať slovo ÁNO, len tak, veľkými písmenami. Táto požiadavka sa robí preto, aby sme sa uistili, že je vaša klávesnica povolená. anglický jazyk! Potom budete musieť zadať prístupovú frázu dvakrát. Táto fráza by mala byť dlhá a nemala by obsahovať často sa opakujúce znaky. V ideálnom prípade by to mal byť náhodný súbor písmen a číslic. Je lepšie prísť s touto frázou vopred, ešte pred začatím práce na vytvorení systému.
Pri zadávaní kľúčovej frázy sa v termináli nezobrazia žiadne znaky, takže musíte písať opatrne. Fráza však bude vyžiadaná dvakrát, takže ak sa pomýlite, program to ohlási.
Po úspešnom vytvorení krypto kontajnera musíte pre ďalšiu prácu pripojiť tento šifrovaný disk:
sudo cryptsetup luksOpen /dev/sda1 zašifrované
Tento príkaz vás vyzve na zadanie prístupovej frázy, ktorá bola zadaná v predchádzajúcom príkaze.
Ďalšou fázou je vytvorenie šifrovaných sekcií vo vnútri krypto kontajnera LUKS. Na vytvorenie týchto oddielov sa používa mechanizmus LVM.
sudo pvcreate /dev/mapper/crypted
sudo vgcreate ubuntu /dev/mapper/crypted
sudo lvcreate -L 2600M -n swap ubuntu
ssudo lvcreate -l 100% ZADARMO -n root ubuntu
sudo mkswap /dev/mapper/ubuntu-swap
sudo mkfs.ext3 /dev/mapper/ubuntu-root
Poznámka.
Veľkosť odkladacieho oddielu by mala byť približne o 30 % väčšia ako veľkosť pamäte RAM. Koreňový oddiel má aspoň 5-7 GB.
Po vytvorení šifrovaných oddielov musíte spustiť inštalačný program, ktorého skratka je na pracovnej ploche. Inštalácia je normálna, dôležité je len pred spustením inštalátora odpojiť flash disk, kde sa zapíše /boot a správne určiť partície na inštaláciu.
Na túto žiadosť musíte odpovedať „Áno“. Toto je flash disk, na ktorý budete musieť nainštalovať oddiel /boot. Táto požiadavka bude vydaná, ak zabudnete odpojiť flash disk pred spustením inštalačného programu.
A spojte sekcie takto:
Šifrované oddiely pre inštaláciu Ubuntu sú /dev/mapper/ubunu-root, /dev/mapper/ubunu-swap. Oblasť /boot na jednotke flash (toto je sdb1).
V okne inštalátora v kroku 8 musíte kliknúť na tlačidlo „Rozšírené“ a uistiť sa, že bootloader bude nainštalovaný na flash disk:
V Ubuntu 12.04 sú oddiely aj zavádzač v jednom okne:
Potom musíte v okne kroku 8 kliknúť na tlačidlo „Inštalovať“ a počkať na dokončenie inštalácie. Po dokončení inštalácie vás inštalátor vyzve na reštartovanie počítača. Nemôžete reštartovať! Musíte zostať v Live Ubuntu. Faktom je, že Ubuntu nainštalované na pevnom disku nemá balík lvm2, čo znamená, že bootovanie systému z pevný disk bude nemožné.
Ak chcete nainštalovať lvm2 in čerstvo nainštalovaný Ubuntu na pevnom disku musíte spustiť nasledujúce príkazy:
sudo mount /dev/mapper/ubuntu-root /mnt
sudo mount /dev/sdb1 /mnt/boot
sudo mount -o bind /dev /mnt/dev
sudo mount -t proc proc /mnt/proc
sudo mount -t sysfs sys /mnt/sys
sudo cp /etc/resolv.conf /mnt/etc/resolv.conf
sudo chroot /mnt /bin/bash
echo "crypted UUID=$(ls -la /dev/disk/by-uuid | grep $(basename /dev/sda1) | cut -d " " -f 9) none luks" >> /etc/crypttab
apt-get update
apt-get install cryptsetup lvm2
VÝCHOD
Poznámka 1. Namiesto toho v Ubuntu 12.04 strih -d "" -f 9 treba písať strih -d "" -f 11! Okrem toho odporúčam, aby ste po príkaze echo ... /etc/crypttab spustili príkaz cat /etc/crypttab a skontrolovali, či bol riadok napísaný správne:
Poznámka 2. Po predposlednom príkaze sa objavia chybové hlásenia, môžete ich ignorovať.
Teraz môžete reštartovať počítač a používať nainštalované šifrované Ubuntu. Samozrejme, v BIOSe je potrebné určiť bootovanie z flash disku, kde je nainštalovaný oddiel /boot!
V takto nainštalovanom Ubuntu môžete dokonca použiť režim hibernácie, bez obáv, že obsah pamäte vyprázdnenej na disk bude prístupný útočníkovi.
Je dôležité pochopiť, že aj pri takomto úplnom šifrovaní zostávajú zraniteľné miesta.
Musíte tiež pochopiť, že šifrovanie je ochrana pre chvíle, keď je váš počítač vypnutý a nie ste nablízku. Keď však pracujete na počítači, stále sa môže stať, že sa niekto dostane do vášho počítača. malvéru z internetu. Takéto programy môžu „ukradnúť“ vaše informácie, keď používate počítač a internet.
Preto je dôležité prijať všeobecné ochranné opatrenia. Nikde sa netúlajte po internete. Neinštalujte neoverené programy. Použite bránu firewall. A pre vážnejšie požiadavky na bezpečnosť musíte použiť tcb A SELinux.
Vytvorte kópiu zavádzací flash disk, najjednoduchší spôsob je s príkazom dd. Zapíšte tento obrázok na iný flash disk alebo laserový disk. Kópia na inú jednotku flash je pohodlnejšia, pretože v prípade potreby ju môžete okamžite použiť. Ale v každom prípade túto kópiu, bez ohľadu na to, na čom je, bude potrebné uložiť na bezpečnom mieste. A po aktualizácii jadra alebo bootloadera budete musieť aktualizovať kópiu flash disku.
Ivan Sukhov, 2012
Pri písaní tohto článku boli použité informácie z publikácie v
