Kampen mot piratkopiering tar ny fart. Upphovsrättsinnehavare och statliga myndigheter fördubblar sina ansträngningar i denna svåra fråga. Jag tror att var och en av oss har tänkt på att skydda personliga filer från intrång från "oväntade gäster", och helt enkelt alltför nyfikna personer.
Vi kommer att kryptera diskarna standardmedel Ubuntu och krypteringsnyckeln, liksom /boot-partitionen, kommer att flyttas till en flyttbar enhet. Men varför kryptera rotpartitionen? När allt kommer omkring kan du bara kryptera /home? Det finns flera anledningar till detta. Den första är baserad på konfigurationsfiler Du kan extrahera viss information från /etc, även om det inte är känslig data. Det andra är att om de plötsligt blir intresserade av innehållet på skivan kan man alltid säga att allt hände så och att skivan redan var full av pseudoslumpdata. Så vad kommer det att krävas?
Vi kommer att använda AES som diskkrypteringsalgoritmen, eftersom den är accepterad som standard och är krypto-resistent, och cryptsetup/LUKS som ett medel. För att kunna lägga till ledigt utrymme ovanpå en krypterad volym använder vi logiska volymer (LVM).
Efter uppstart från LiveCD måste du förbereda en flashenhet: skapa en andra partition på den, där /boot och krypteringsnyckeln kommer att finnas. Genom att skapa /boot-partitionen med ext2 FS andra slår vi två flugor i en smäll - den första partitionen kommer att vara synlig i alla system, och du kan lagra data på den, och den andra partitionen kan inte ses så lätt från Windows, vilket skapar besvär för den nyfikna. För partitionering använde jag gparted, men ingen hindrar dig från att använda till exempel fdisk. Efter detta måste du montera den nyskapade partitionen och generera nyckelfil:
Varför läsa en byte i taget? Poängen är att poolen slumpmässiga siffror i kärnan är relativt liten och innehåller inte alltid en tillräcklig mängd slumpmässig data, så under genereringen flyttar du musen slumpmässigt.
Låt oss titta på vad det här kommandot gör. Den första nyckeln anger vilken typ av hashfunktion som kommer att användas för att hasha huvudnyckeln. Den andra nyckeln anger krypteringsalgoritmen och typen. Jag kommer att uppehålla mig lite mer i detalj. Vad är CBC? Som ni vet är AES ett blockchiffer som fungerar i block med 128, 192 eller 256 bitar. Men som regel krypteras mycket större mängder information. Och problemet uppstår - hur man krypterar så att den icke-slumpmässiga distributionen inte är synlig, från vilken en kryptoanalytiker kan extrahera information. Smarta människor löste det så här: det första blocket innehåller IV - en slumpmässig uppsättning bitar. Och varje efterföljande block av öppna data XOR'd med det föregående blocket av redan krypterad data. Allt verkar vara bra, men i fallet med diskkryptering är ett sådant schema av uppenbara skäl inte tillämpligt (du kommer inte vänta 10–20 minuter varje gång medan systemet dekrypterar avsnittet du behöver?). I LUKS används ESSIV för att lösa problemet med slumpmässig tillgång till information - relativt små datablock krypteras (sektor-för-sektor), och initieringsvektorn genereras baserat på sektornumret och nyckelhash. Detta schema skyddar också mot vissa kryptoattacker. Det är särskilt därför jag använder LUKS. Bekräftar dina avsikter efter lanseringen föregående kommando, skapa en LUKS-enhetsmappning:
# cryptsetup -d=/mnt/boot/key.bin luksOpen /dev/sdd kryptodisk |
Det första steget av förberedelserna är klart - nu dyker kryptodiskenheten upp i katalogen /dev/mapper, som kan behandlas som en vanlig disk.
I princip kan du nu installera Ubuntu på den nyskapade kryptodisken, men, som jag redan skrev, för att kunna öka utrymmet är det bättre att skapa en LVM-volym ovanpå den, vilket är vad vi kommer att göra. do. Låt oss initiera den fysiska volymen och skapa en volymgrupp:
Nu kan du formatera dem till filsystem. Du är fri att välja själv, men jag använde den gamla goda ext4 för både rotvolymen och vg-home - enligt mig har vi redan gått för långt för att använda nyare filsystem:
Allt vi behöver göra är att installera Ubuntu på en okrypterad partition/disk och överföra den till en krypterad.
Nu ställer vi in den på okrypterad Ubuntu disk- gör konfigurationen som du vill, förutom placeringen av /boot och starthanteraren. De måste placeras på en flash-enhet, där du har skapat lämplig partition i förväg. Efter det startar vi från flashenheten för att kontrollera om allt är korrekt installerat, installera med hjälp av apt-get-paket lvm2 och cryptsetup - de togs bort automatiskt efter installation av Ubuntu - och lägg till/ändra raderna i /etc/fstab. Du bör få något liknande (förutom raderna med pseudo-filsystem, som dock moderna system Inga):
/etc/fstab UUID = dd7ca139 - 074a - 4b1b - a116 - 3a42feab7459 / boot ext2 defaults 0 2 / dev / mapper / vg - root / ext4 errors = remount - ro 0 1 / dev / mapper / vg - standard home / vg - home / 0 1 /dev/mapper/vg - swap none swap sw 0 0 |
Vi monterar /boot-partitionen med UUID så att när du lägger till nya diskar finns det ingen förvirring med deras namn. Nu går vi till filen /etc/crypttab, den har ungefär följande innehåll:
Låt oss skapa ett skript så att vi inte behöver montera flashenheten igen:
Kopiera nyckeln och cryptsetup
cp / boot / key .bin $ ( DESTDIR ) / etc / crypto copy_exec / sbin / cryptsetup / sbin |
Och det faktiska skriptet för att ansluta kryptodisken (exekveras under initrd-laddning):
/etc/initramfs - tools/scripts/local - top/kryptotycklar. . . modprobe - b dm_crypt while ! /sbin/cryptsetup - d=/etc/crypto/key .bin luksOpen /dev/disk/by - uuid /c34e4c91 - 1fa1 - 4802 - 88ca - 9c3be5c99097 kryptodisk ; gör echo "Försök igen..." gjort |
While-slingan är nödvändig om du senare lägger till lösenordsupplåsning av volymen. Båda skripten måste vara körbara, annars kommer nästa kommando inte att se dem och skapa en standardbild. Nu kan du utfärda kommandot initrd update:
# uppdatera initrd -u -k all -v |
Vi glömde nästan bort bootloader-konfigurationen. Det finns två sätt att redigera det: det ena är enkelt men felaktigt - direkt redigera filen /boot/grub/grub.cfg, det andra är också enkelt, men den här gången korrekt. Det felaktiga med den första metoden är att varje gång kärnan uppdateras skrivs konfigurationen om med skript från /etc/grub.d/. Vi kommer att gå åt andra hållet - vi kommer att lägga till ett skript som kommer att generera de korrekta raderna i den riktiga Grabov-konfigurationen. Det finns dock ett "men" - när du uppdaterar kärnan måste du antingen ändra det varje gång eller stanna kvar med det gamla (det senare är enligt min mening att föredra - se sidofältet). Så här ser hans rader ut:
/etc/grub.d/40_custom menuentry "Ubuntu crypto" ( recordfail = 1 if [ - n $ ( have_grubenv ) ] ; sedan save_env recordfail ; fi set quiet = 1 insmod part_msdos insmod ext2 insmod gzio |
Vi tar UUID från en förinspelad fil
sök -- no - floppy -- fs - uuid -- set = root dd7ca139 - 074a - 4b1b - a116 - 3a42feab7459 |
/boot-partitionen för Grub anses vara rotpartitionen, så sökvägarna till kärnan och initrd-avbildningen är specificerade i förhållande till den
Om du vill kan du stänga av menyalternativ du inte behöver. För att göra detta, ta helt enkelt bort exekveringsbehörigheten från alla onödiga skript i /etc/grub.d/. Nu kan du uppdatera huvudkonfigurationen:
Efter kopiering kan du försöka starta från flashenheten - välj bara menyalternativet Ubuntu krypto. Om allt gick bra kommer du efter en tid att se en inloggningsuppmaning. I det här fallet kan jag gratulera dig - du arbetar redan i ett krypterat system.
Låt oss säga att du behövde ändra nyckeln - du har kompromissat med den eller helt enkelt skapat en förändringspolicy och vill följa den strikt. Vad behövs för detta? Gör först och främst säkerhetskopia LUKS volymhuvud - om allt går bra kan du förstöra den efter att ha bytt nyckel. Vi gör det, naturligtvis, på en okrypterad partition:
Vi tittar på de aktuella nyckelplatserna (platser i rubriken på den krypterade volymen där nycklarna är lagrade - ja, ja, det kan finnas fler än en) och kommer ihåg det aktiva numret (Aktiverat). Normalt är detta noll.
Semenenko V.
När du installerar operativsystemet Ubuntu kanske du inte tänker på att ställa in datakryptering på det. Eller det kan finnas en situation där du lägger till en användare i systemet utan att kryptera hans hemkatalog. Men nu har du ändrat dig och bestämt dig för att konfigurera skydd för den här katalogen. Med andra ord vill du (eller en annan användare på datorn) kunna just nu Inga...
Hur kan du lägga till krypteringsfunktioner till en redan installerad Ubuntu system Linux?
Lyckligtvis är det ganska enkelt att implementera. För att göra detta, följ bara tre grundläggande steg:
Åtgärderna som beskrivs i den här artikeln utfördes på ett helt uppdaterat Ubuntu Precise 12.04-system.
På grund av en befintlig bugg i Ubuntu Linux du kan inte logga in om inloggningsfönstrets grafik finns i användarens krypterade hemmapp. Om en användare har ändrat standardskalet, se till att det inte heller finns i den användarens hemmapp.
Att skapa en krypterad kopia av användarens hemkatalog är en säker procedur. Det är dock värt att notera att en viss mängd hårddiskutrymme krävs för att utföra denna uppgift. Om du upptäcker att det finns för lite utrymme måste du skapa en säkerhetskopia av dina data, sedan radera alla stora filer från den (till exempel filmer) och återställa dem från denna kopia efter att krypteringen är klar. Jag rekommenderar generellt att du säkerhetskopierar all din data för att förhindra potentiella problem.
Använd din favoritpakethanterare och installera programmet encrypt-utils.
I den här handledningen kommer jag att använda inloggningsfältet som användarnamnet vars data kommer att användas för att utföra åtgärder. Du måste ersätta den med namnet på användaren vars hemkatalog kommer att krypteras.
Starta om Ubuntu Linux och gå in i "Återställningsläge" ( Återställningsläge). Ett litet tips - medan systemet börjar starta, tryck och håll ned Skift-tangenten för att öppna Grub-menyn. Vanligtvis är raden "Återställningsläge" placerad tvåa från toppen i listan över denna bootloader.
I menyn för återställningsläge väljer du "Släpp" för att en prompt ska visas kommandoraden För konto rot.
För att åtgärda programvarufelet som nämns i början av den här artikeln anger du följande två kommandon:
mount --alternativ remount,rw /
montera --allt
Nu kan du skapa en krypterad kopia av paddy-användarens hemkatalog. För att göra detta, skriv in kommandot nedan. Ta samtidigt dig besväret att komma ihåg ditt eget lösenord, eftersom detta verktyg kommer att kräva det för att utföra operationen:
När krypteringsprocessen är klar kommer du att se flera varningar. Du kan ignorera dem. Men du måste komma ihåg sökvägen till den tillfälliga mappen som skapats av detta kommando. Det kommer att se ut ungefär så här: /home/paddy.ChPzzxqD
I det här fallet är de sista åtta tecknen (efter pricken) en slumpmässig uppsättning. Du kommer att behöva den här katalogen i efterföljande steg "Slutför" eller "Återvänder till ursprungligt tillstånd", som kommer att diskuteras vidare.
Starta om ditt Ubuntu Linux-system. För att göra detta, skriv in kommandot: starta om nu
Det kan ta några sekunder för kommandot att matas in och köras, så ha tålamod.
Logga in på ditt Ubuntu-system på det vanliga sättet du har gjort varje gång. Kontrollera att allt fungerar som förut.
Om något är fel kan du omedelbart gå till objektet "Återgå till originaltillstånd".
Om allt i systemet fungerar bra, slutför de sista stegen.
Öppna en terminal och ange kommandot för att ta bort den tillfälliga katalogen. För att göra detta måste du komma ihåg sökvägen till den tillfälliga mappen som skapades när du krypterade din hemkatalog.
sudo rm -R /home/paddy.ChPzzxqD
Återställ data som du raderade (om någon) i steget "Förberedelser".
Öppna en terminal igen och ange kommandot för att kryptera swap-partitionen. Om du redan hade en användare med hemkatalogkryptering konfigurerad kan du säkert hoppa över detta steg: sudo ecryptfs-setup-swap
Starta om igen.
Om krypteringsprocessen slutfördes med fel måste du upprepa de föregående stegen igen.
Kör kommandona:
mount --alternativ remount,rw /
montera --allt
ecryptfs-migrate-home --user paddy
Ange sedan kommandot för att se innehållet i den tillfälliga mappen som skapades under krypteringsprocessen. För att göra detta måste du återigen komma ihåg vägen till den. Inga fel ska visas. Om de dyker upp behöver du hjälp.
ls -l /home/paddy.ChPzzxqD
Slutför nu återställningsprocessen genom att köra tre kommandon:
cd /hem
rm -R paddy .ecryptfs/paddy
mv paddy.ChPzzxqD
Starta om igen.
Jag hoppas att stegen ovan hjälpte dig. Om du har olösta problem kan du lägga upp en förfrågan på min Ubuntu-forumtråd.
De flesta användare undrar ofta varför operativsystemet Ubuntu inte har viloläge efter att ha utfört tidigare operationer (beskrivits tidigare i den här artikeln) och hur man återställer denna funktion. Anledningen är den konfigurerade krypteringen. Om du har konfigurerat kryptering för din hemkatalog, är swap-partitionen också krypterad, men med en slumpmässig nyckel. När du sätter systemet i viloläge kommer data RAM lagras i swap-partitionen och de krypteras med en slumpmässig nyckel. När systemet återställs från viloläge är nyckeln som användes för att kryptera swap-partitionen redan förlorad för alltid och systemet kan inte läsa denna partition. Följaktligen kan data inte hämtas och det är omöjligt att återgå till det tidigare tillståndet.
Om ditt system inte är konfigurerat för att kryptera partitioner är det enkelt att återställa förmågan att vila i Ubuntu. För att göra detta, kör bara kommandona: ls -l /home/paddy.ChPzzxqD
rm -R paddy .ecryptfs/paddy
Men om systemet krypterar användarens hemmapartition och swap-partitionen, är det nödvändigt att ersätta krypteringen av swap-partitionen inte med en slumpmässig nyckel, utan med en förvald lösenfras.
Observera dock att varje användare på datorn kommer att behöva känna till denna lösenfras när systemet startar.
Jag provade det denna metod i båda fallen - som i normalt system Ubuntu 12.04 och på ett Ubuntu-system installerat på virtuell maskin VirtualBox. I det senare fallet var det problem med att visa skärmen när man återupptog från viloläge. Men på ett vanligt system fungerade allt bra.
Ange följande kommando i terminalen: sudo cryptsetup status crypt byta 1
Som ett resultat kommer du att se en rad som indikerar enheten som ser ut ungefär så här: /dev/sda1
eller /dev/sdb5
Den här enheten är växlingspartitionen på ditt system. Kom ihåg det, eftersom du kommer att behöva det senare.
När du gör några ändringar i systemet rekommenderar jag alltid att du utför en komplett säkerhetskopiering data. I vårt fall kommer det också att vara användbart.
Ange följande kommandon. Se till att du ersätter /dev/sdXN-enheten med din swap-partition som skapats i avsnittet "Förberedelser". När du anger kommandon bör du strikt följa den angivna sekvensen:
sudo swapoff /dev/mapper/cryptswap1
sudo cryptsetup luksStäng /dev/mapper/cryptswap1
sudo cryptsetup luksFormat chiffer aes cbc essiv:sha256 verifiera lösenordsfras nyckelstorlek 256 /dev/sdXN
VARNING!
========
Detta kommer att skriva över data på /dev/sda1 oåterkalleligt.
Är du säker? (Skriv versaler ja): JA
Ange LUKS-lösenfras:
Verifiera lösenordsfras:
sudo cryptsetup luksOpen /dev/sdXN cryptswap1
Ange lösenordsfrasen för enheten /dev/sda1 (och upprepa den för att undvika stavfel):
sudo mk byta/dev/mapper/krypt byta 1
sudo swapon alla
swapon s
Det sista kommandot visar enhetens filnamn /dev/crypt swap 1 .
Öppna inställningsfilen /etc/crypttab i din föredragna redigerare. Ersätt linjekrypteringsbytet 1 med följande (kom ihåg att ersätta /dev/sdXN med din bytesenhet): cryptswap1 /dev/sdXN inga luks
Redigera nu filen /usr/share/initramfstools/scripts/local-top/cryptroot. Hitta raden i den (vanligtvis är den numrerad 288, men den kan ändras): meddelande "cryptsetup: okänt fel vid inställning av enhetsmappning"
Flytta till nästa tom rad(före FSTYPE=") och klistra in ny linje(kom ihåg att ersätta /dev/sdXN-enheten): /sbin/cryptsetup luksÖppna /dev/sdXN crypt byta 1
Redigera filen /etc/acpi/hibetnate.sh. På den första tomma raden, infoga värdet: DEVICE="/dev/mapper/krypt byta 1"
Redigera filen /etc/initramfstools/conf.d/resume. Ersätt den befintliga linjen med följande: RESUME=/dev/mapper/crypt byta 1
Redigera sedan filen /etc/polkit1/localauthoriyt/50-local.d/com.ubuntu.enable-hibernate.pkla. Filen existerar inte från början, så du måste skapa den först. Lägg sedan till raderna till det:
Identity=unixuser:*
Action=org.freedesktop.upower.hibernate
ResultActive=ja
Öppna slutligen en terminal och skriv in följande kommando: sudo uppdatera initramfs u k all
Starta om.
Nästa gång du startar Ubuntu Linux kommer du att bli ombedd att ange en ny växlingslösenfras. Ange den och den normala inloggningsprocessen fortsätter.
Använder molnenheter, användare är allt mer intresserade av kryptering i Linux-distributioner. Jag ska presentera dig för intressant program"kryptera moln".
Har du någonsin tänkt på att, rent teoretiskt, kan de filer som du lagrar i molnlagring, rent tekniskt, bli allmänt kända på några minuter under vissa omständigheter. Personligen är jag inte det, och med all min karaktäristiska brist på paranoia, lägger jag upp denna information exklusivt för dem som "redan vallas av ZOG", för som det gamla skämtet sa: "Om du inte har paranoia, gör detta inte betyda att du inte blir förföljd.” Så följ mig. Vänner.
I Linux-kryptering disken är implementerad på olika sätt och på olika nivåer. Det finns hundratals sätt att kryptera en hel disk. Jag ska bara visa dig arbetet med ett program jag gillade, vilket även en noob som jag kan lista ut. Denna applikation kallas Kryptomator.
Varför jag gillade honom:
Faktum är att kryptering sker på lokal dator, och synkroniseras sedan med molnet, så även om din molnlagring Om någon får åtkomst kommer de att se en uppsättning filer och mappar med ett floskelnamn och samma innehåll.
Jag gillade den här applikationen av två skäl, den första är en intressant och bekväm implementering av att ansluta krypterade behållare som en virtuell hårddisk. Utförs efter anslutningstyp USB-lagring. Och den andra är plattformsoberoende, kryptomatorn är tillgänglig för Linux, Windows och Mac OS. Det vill säga om du har Linux hemma, på Mac fungerar OS, och på semester när du besöker Windows, kan du enkelt komma åt dina molnkrypterade filer genom att helt enkelt installera Cryptomator och ange ditt lösenord i den.
För att installera på Ubuntu och derivat, skriv in i terminalen:
#lägg till förvaret sudo add-apt-repository ppa:sebastian-stenzel/cryptomator #uppdatera listor över förvarspaket sudo apt-get update #direktinstallera Cryptomator sudo apt-get install cryptomator
Installation i Arch Linux och dess derivator är enkel, som alltid
Yaourt -S cryptomator #Jag kommer inte att skriva om pacaur och det är klart
Installation på Fedora, Centos och andra rpm-distributioner görs genom att helt enkelt ladda ner det binära rpm-paketet och faktiskt installera det.
Ladda ner rpm-paketet
Använder Cryptomator
Så här ser det ut att skapa ett nytt arkiv
Välj den katalog där den krypterade katalogen ska skapas Denna katalog kan vara antingen lokal eller en synkroniserad katalog för din molnlagring.
Vi skapar en pålitlig nyckel, som vi kommer att använda i framtiden för att ansluta vår krypterade lagring.
Efter det återstår bara att ange den nyskapade nyckeln och den krypterade partitionen kommer att monteras.
I skärmdumpen ovan slängde jag ett paket med filer på 536,9 megabyte i den monterade krypteringsmappen och det bearbetade detta gäng små filer åt mig på 1 minut.
När du installerar operativsystemet Ubuntu kanske du inte tänker på att ställa in datakryptering på det. Eller det kan finnas en situation där du lägger till en användare i systemet utan att kryptera hans hemkatalog. Men nu har du ändrat dig och bestämt dig för att konfigurera skydd för den här katalogen. Med andra ord, du (eller en annan användare på datorn) vill ha ett alternativ som för närvarande inte finns...
Hur kan du lägga till krypteringsmöjligheter till redan installerat system Ubuntu Linux?
Lyckligtvis är det ganska enkelt att implementera. För att göra detta, följ bara tre grundläggande steg:
Åtgärderna som beskrivs i den här artikeln utfördes på ett helt uppdaterat Ubuntu Precise 12.04-system.
På grund av en aktuell bugg i Ubuntu Linux kan du inte logga in om inloggningsfönstrets grafik finns i användarens krypterade hemmapp. Om en användare har ändrat standardskalet, se till att det inte heller finns i användarens hemmapp.
Att skapa en krypterad kopia av användarens hemkatalog är en säker procedur. Det är dock värt att notera att en viss mängd hårddiskutrymme krävs för att utföra denna uppgift. Om du upptäcker att det finns för lite utrymme måste du skapa en säkerhetskopia av dina data, sedan radera alla stora filer från den (till exempel filmer) och återställa dem från denna kopia efter att krypteringen är klar. Jag rekommenderar generellt att du säkerhetskopierar all din data för att förhindra potentiella problem.
Använd din favoritpakethanterare och installera programmet encrypt-utils.
I den här handledningen kommer jag att använda inloggningsfältet som användarnamnet vars data kommer att användas för att utföra åtgärder. Du måste ersätta den med namnet på användaren vars hemkatalog kommer att krypteras.
Starta om Ubuntu Linux och gå in i återställningsläge. Ett litet tips - medan systemet börjar starta, tryck och håll ned Skift-tangenten för att öppna Grub-menyn. Vanligtvis är raden "Återställningsläge" placerad tvåa från toppen i listan över denna bootloader.
I menyn för återställningsläge väljer du "Släpp" för att visa en kommandotolk för rotkontot.
För att åtgärda programvarufelet som nämns i början av den här artikeln anger du följande två kommandon:
Montera --alternativ remount,rw / mount --all
Nu kan du skapa en krypterad kopia av paddyanvändarens hemkatalog. För att göra detta, skriv in kommandot nedan. Ta samtidigt besväret att komma ihåg ditt eget lösenord, eftersom det här verktyget kräver att det utför operationen:
Ecryptfs-migrate-home --user paddy
När krypteringsprocessen är klar kommer du att se flera varningar. Du kan ignorera dem. Men du måste komma ihåg sökvägen till den tillfälliga mappen som skapats av detta kommando. Det kommer att se ut ungefär så här:
/home/paddy.ChPzzxqD
I det här fallet är de sista åtta tecknen (efter pricken) en slumpmässig uppsättning. Du kommer att behöva den här katalogen i de efterföljande stegen "Complete" eller "Return to Initial State", som kommer att diskuteras senare.
Starta om ditt Ubuntu Linux-system. För att göra detta, skriv in kommandot:
Starta om nu
Det kan ta några sekunder för kommandot att matas in och köras, så ha tålamod.
Logga in på ditt Ubuntu-system på det vanliga sättet du har gjort varje gång. Kontrollera att allt fungerar som förut.
Om något är fel kan du omedelbart gå till objektet "Återgå till originaltillstånd".
Om allt i systemet fungerar bra, slutför de sista stegen.
Öppna en terminal och ange kommandot för att ta bort den tillfälliga katalogen. För att göra detta måste du komma ihåg sökvägen till den tillfälliga mappen som skapades när du krypterade din hemkatalog.
Sudo rm -R /home/paddy.ChPzzxqD
Återställ data som du raderade (om någon) i steget "Förberedelser".
Öppna en terminal igen och ange kommandot för att kryptera swap-partitionen. Om du redan hade en användare med hemkatalogkryptering konfigurerad kan du säkert hoppa över detta steg:
Sudo ecryptfs-setup-swap
Starta om igen.
Om krypteringsprocessen slutfördes med fel måste du upprepa de föregående stegen igen.
Kör kommandona:
Montera --alternativ remount,rw / mount --all ecryptfs-migre-home --user paddy
Ange sedan kommandot för att se innehållet i den tillfälliga mappen som skapades under krypteringsprocessen. För att göra detta måste du återigen komma ihåg vägen till den. Inga fel ska visas. Om de dyker upp behöver du hjälp.
Ls -l /home/paddy.ChPzzxqD
Slutför nu återställningsprocessen genom att köra tre kommandon:
Cd /home rm -R paddy .ecryptfs/paddy mv paddy.ChPzzxqD
Starta om igen.
Jag hoppas att stegen ovan hjälpte dig. Om du har olösta problem kan du lägga upp en förfrågan på min Ubuntu-forumtråd:
De flesta användare undrar ofta varför operativsystemet Ubuntu inte har viloläge efter att ha utfört tidigare operationer (beskrivits tidigare i den här artikeln) och hur man återställer denna funktion. Anledningen är den konfigurerade krypteringen. Om du har konfigurerat kryptering för din hemkatalog, är swap-partitionen också krypterad, men med en slumpmässig nyckel. När du sätter systemet i viloläge lagras RAM-data i växlingspartitionen och krypteras med en slumpmässig nyckel. När systemet återställs från viloläge är nyckeln som användes för att kryptera swap-partitionen redan förlorad för alltid och systemet kan inte läsa denna partition. Följaktligen kan data inte hämtas och det är omöjligt att återgå till det tidigare tillståndet.
Om ditt system inte är konfigurerat för att kryptera partitioner är det enkelt att återställa förmågan att vila i Ubuntu. För att göra detta, kör bara kommandona:
Ls -l /home/paddy.ChPzzxqD rm -R paddy .ecryptfs/paddy
Men om systemet krypterar användarens hemmapartition och swap-partitionen, är det nödvändigt att ersätta krypteringen av swap-partitionen inte med en slumpmässig nyckel, utan med en förvald lösenfras.
Observera dock att varje användare på datorn kommer att behöva känna till denna lösenfras när systemet startar.
Jag provade den här metoden i båda fallen - både på ett vanligt Ubuntu 12.04-system och på ett Ubuntu-system installerat på ett virtuellt system VirtualBox-maskin. I det senare fallet var det problem med att visa skärmen när man återupptog från viloläge. Men på ett vanligt system fungerade allt bra.
Ange följande kommando i terminalen:
Sudo cryptsetup status crypt swap 1
Som ett resultat kommer du att se en linje som indikerar enheten som ser ut ungefär så här:
/dev/sda1
/dev/sdb5
Den här enheten är växlingspartitionen på ditt system. Kom ihåg det, eftersom du kommer att behöva det senare.
När du gör några ändringar i systemet rekommenderar jag alltid att du gör en fullständig säkerhetskopiering av dina data. I vårt fall kommer det också att vara användbart.
Ange följande kommandon. Se till att du ersätter /dev/sdXN-enheten med din swap-partition som skapats i avsnittet "Förberedelser". När du anger kommandon bör du strikt följa den angivna sekvensen:
Sudo swapoff /dev/mapper/cryptswap1 sudo cryptsetup luksStäng /dev/mapper/cryptswap1 sudo cryptsetup luksFormat chiffer aes cbc essiv:sha256 verifiera lösenordsfras nyckelstorlek 256 /dev/sdXN VARNING! ======== Detta kommer att skriva över data på /dev/sda1 oåterkalleligt. Är du säker? (Skriv versaler ja): JA Ange LUKS-lösenfras: Verifiera lösenordsfras: sudo cryptsetup luksOpen /dev/sdXN cryptswap1
Ange lösenordsfrasen för enheten /dev/sda1 (och upprepa den för att undvika stavfel):
Sudo mk swap /dev/mapper/crypt swap 1 sudo swapon --all swapon -s
Det sista kommandot visar enhetens filnamn /dev/crypt swap 1 .
Öppna inställningsfilen /etc/crypttab i din föredragna redigerare. Ersätt linjekrypteringsbytet 1 med följande (kom ihåg att ersätta /dev/sdXN med din bytesenhet):
Cryptswap1 /dev/sdXN inga luks
Redigera nu filen /usr/share/initramfstools/scripts/local-top/cryptroot. Hitta raden i den (vanligtvis är den numrerad 288, men den kan ändras):
Meddelande "cryptsetup: okänt fel vid inställning av enhetsmappning"
Gå till nästa tomma rad (före FSTYPE=") och infoga en ny rad (kom ihåg att ersätta /dev/sdXN-enheten):
/sbin/cryptsetup luksÖppna /dev/sdXN kryptbyte 1
Redigera filen /etc/acpi/hibetnate.sh. På den första tomma raden, infoga värdet:
DEVICE="/dev/mapper/krypt byte 1"
Redigera filen /etc/initramfstools/conf.d/resume. Ersätt den befintliga linjen med följande:
RESUME=/dev/mapper/crypt swap 1
Redigera sedan filen /etc/polkit1/localauthoriyt/50-local.d/com.ubuntu.enable-hibernate.pkla. Filen existerar inte från början, så du måste skapa den först. Lägg sedan till raderna till det:
Identity=unixuser:* Action=org.freedesktop.upower.hibernate ResultActive=ja
Öppna slutligen en terminal och skriv in följande kommando:
Sudo uppdatering initramfs u k all
Starta om.
Nästa gång du startar Ubuntu Linux kommer du att bli ombedd att ange en ny växlingslösenfras. Ange den och den normala inloggningsprocessen fortsätter.
Om du råkar glömma din lösenfras, skriv in något. Efter tre misslyckade försök systemet kommer att fortsätta inloggningsprocessen i alla fall, men utan att montera swap-partitionen. För att få en ny nyckelord följ stegen som beskrivs i den här artikeln steg för steg instruktioner igen.
Du hittar nu "Hibernate"-läget i Ubuntu Linux avstängningsmeny och kan använda det. Om du vill gå i viloläge från kommandoraden, skriv bara följande kommando i terminalen.
Detta är den enda pålitligt sätt informationsskydd, under förhållanden där det är möjligt fysisk åtkomst främlingar för datorn. Alla startlösenord operativsystem- Windows, Linux eller Mac OS kan bara rädda dig från barn. Varje specialist kommer att kringgå lösenordsskydd på ett par minuter - ungefär lika lång tid som det tar att koppla in en flash-enhet till din dator och ladda ditt operativsystem från den.
Men krypterad data är mycket svårare att öppna. Eller till och med omöjligt utan en digital nyckel eller lösenfras. Självklart finns det olika krypteringsalgoritmer och inom dessa algoritmer finns det olika parametrar – allt detta påverkar motståndet mot hackning. När du använder svaga algoritmer eller sårbara parametrar kan du få tillgång till krypterade filer och mappar. Men generellt sett kan vi anta att kryptering är ett tillförlitligt dataskydd.
Det vanligaste sättet att skydda data är filkryptering. En krypterad mapp skapas på disken och filer skrivs till den. Teoretiskt sett är detta säkert om AES-algoritmen används och nycklarna är långa. Men det finns fortfarande en otydlig sårbarhet för data med denna krypteringsmetod. Faktum är att operativsystemet förblir oskyddat. Och detta ger en angripare möjlighet att installera i systemet specialprogram, (keylogger, rootkit) som kommer att startas vid OS-start och övervaka användaråtgärder och därmed kommer angriparen förr eller senare att få ett lösenord eller nyckelfil för att komma åt krypterade mappar och filer. Eller så kommer den att kunna erhålla denna data själv efter att användaren öppnat den krypterade filen.
Detta betyder att verkligt starkt dataskydd på disken inte är kryptering. separata filer och mappar, men hela avsnittet. Dessutom för pålitligt skydd Kryptering av hela disken krävs. Ingenting ska finnas kvar "på ytan". Den här artikeln ger instruktioner om hur du skapar en krypterad systempartition och disk i Linux Ubuntu OS.
Det krypterade filsystemet i Linux stöds på operativsystemets kärnnivå. Det vill säga, det finns inget behov av att leta efter några snygga kryptografiska program och dessutom användningen av krypterade Linux-partitioner sker transparent - användaren behöver inte veta något om kryptering och behöver inte göra något för att kryptera sina filer och mappar.
För att skapa ett tillförlitligt krypterat system för Linux måste du förstå vilka delar av systemet som behöver skyddas. Det finns fyra av dem:
Alla dessa områden måste skyddas.
Artikeln kommer att diskutera en förenklad konfiguration - byta Och /känga på separata avsnitt, och rot Och /hem kombinerat på en sektion. Men för mer komplexa fall kommer skyddstekniken att vara densamma.
Med områdeskryptering rota, byta Och /hem det finns inga svårigheter, men med skydd /känga det finns ett problem. Faktum är att från detta område startar systemstarthanteraren initrd och Linux kärna. Om detta område är krypterat kommer starthanteraren inte att kunna starta kärnan och följaktligen kommer det att vara omöjligt att starta operativsystemet. Det vill säga kryptera /känga det är omöjligt, men det är också omöjligt att lämna det öppet, för i det här fallet kommer det att vara möjligt att ersätta kärnan med en annan som innehåller skadlig kod som kommer att fånga upp lösenordet för att dekryptera disken..
Lösningen är att placera en sektion /känga på flyttbara media, på en flash-enhet. Flash-enheten kommer att vara en slags elektronisk nyckel till systemet. Utan det kommer det att vara omöjligt att starta operativsystemet från en krypterad disk. Det vill säga partitionsskydd /känga genomförs på fysisk nivå- ta bort den från datorn.
Således allmän ordning skydd är:
Installation av krypterad Ubuntu kommer att utföras med använder Ubuntu Bo. Varför Live? När allt kommer omkring låter den alternativa distributionen dig göra detsamma utan att dansa med en tamburin, det finns krypteringsalternativ i installationsprogrammet. Personligen gillar jag inte det faktum att Alternate enbart är en installationsdistribution, den kan inte användas på något annat sätt - varken för diagnostik eller för arbete. Dessutom fungerar den alternativa installationsprogrammet i konsolen, och detta är på något sätt ålderdomligt på 2000-talet. Så Live.
Denna instruktion gäller för två LTS-releaser 10.04 och 12.04, i båda fallen görs allt på samma sätt. Även om den testas i praktiken endast på dessa två utgåvor, bör den även fungera på andra.
Efter nedladdning till Live behöver du en Internetanslutning, eftersom Live-versioner inte har paketet lvm2 - du måste ladda ner och installera det. Så instruktionerna är steg för steg.
Upprätta en internetanslutning. Kör sedan två kommandon:
sudo apt-get uppdatering
sudo apt-get installera lvm2
Du kan ladda ner i förväg, skriva till en flashenhet eller diskett paketen libdevmapper-event, lvm2, watershed och sedan installera dem med kommandot dpkg. Men Internet kommer fortfarande att krävas i slutskedet.
Du måste skapa en tom partition på din hårddisk som inte är partitionerad i filsystemet. Diskformatet kan vara MS-DOS eller GPT - det spelar ingen roll. Det här avsnittet kommer att fungera som en kryptobehållare.
Du måste också skapa en partition på flashenheten, men med filsystem Ext3.
Kryptera en hel partition på en hårddisk görs med kommandot:
sudo cryptsetup --cipher aes-xts-plain --key-size 512 --verify-passphrase luksFormat /dev/sda1
Viktig anmärkning.
Detta kommando kommer att utfärda en begäran och för att bekräfta det måste du ange ordet JA, precis som det, med versaler. Denna begäran görs för att se till att ditt tangentbord är aktiverat. engelska språket! Efter detta måste du ange lösenfrasen två gånger. Den här frasen ska vara lång och får inte innehålla ofta upprepade tecken. Helst bör detta vara en slumpmässig uppsättning bokstäver och siffror. Det är bättre att komma med den här frasen i förväg, även innan du börjar arbeta med att skapa systemet.
När du anger en nyckelfras kommer inga tecken att visas i terminalen, så du måste skriva noggrant. Men frasen kommer att efterfrågas två gånger, så om du gör ett misstag kommer programmet att rapportera det.
Efter att ha skapat en kryptobehållare måste du ansluta denna krypterade disk för vidare arbete:
sudo cryptsetup luksÖppna /dev/sda1 krypterad
Detta kommando kommer att uppmana dig att ange lösenfrasen som angavs i föregående kommando.
Nästa steg är skapandet av krypterade sektioner inuti LUKS kryptobehållare. LVM-mekanismen används för att skapa dessa partitioner.
sudo pvcreate /dev/mapper/krypterad
sudo vgcreate ubuntu /dev/mapper/krypterad
sudo lvcreate -L 2600M -n swap ubuntu
ssudo lvcreate -l 100%GRATIS -n root ubuntu
sudo mkswap /dev/mapper/ubuntu-swap
sudo mkfs.ext3 /dev/mapper/ubuntu-root
Notera.
Storleken på swap-partitionen bör vara ungefär 30 % större än storleken på RAM-minnet. Rotpartitionen är minst 5-7 Gigabyte.
Efter att ha skapat de krypterade partitionerna måste du köra installationsprogrammet, vars genväg finns på skrivbordet. Installationen är normal, det är bara viktigt att avmontera flashenheten där /boot kommer att skrivas innan installationsprogrammet körs, och korrekt specificera partitionerna för installationen.
Du måste svara "Ja" på denna begäran. Detta är en flashenhet där du måste installera /boot-partitionen. Denna begäran kommer att utfärdas om du glömmer att avmontera flashenheten innan du kör installationsprogrammet.
Och koppla ihop avsnitten så här:
Krypterade partitioner för Ubuntu-installation är /dev/mapper/ubunu-root, /dev/mapper/ubunu-swap. /boot-partitionen på flashenheten (detta är sdb1).
I installationsfönstret, i steg 8, måste du klicka på knappen "Avancerat" och se till att starthanteraren kommer att installeras på flashenheten:
I Ubuntu 12.04 finns både partitioner och bootloader i ett fönster:
Efter detta, i fönstret i steg 8, måste du klicka på knappen "Installera" och vänta tills installationen är klar. När installationen är klar kommer installationsprogrammet att uppmana dig att starta om datorn. Du kan inte starta om! Du måste stanna i Live Ubuntu. Faktum är att Ubuntu installerat på hårddisken inte har lvm2-paketet, vilket innebär att uppstart av systemet från hårddisk kommer att vara omöjligt.
För att installera lvm2 in nyinstallerad Ubuntu på din hårddisk måste du köra följande kommandon:
sudo mount /dev/mapper/ubuntu-root /mnt
sudo mount /dev/sdb1 /mnt/boot
sudo mount -o bind /dev /mnt/dev
sudo mount -t proc proc /mnt/proc
sudo mount -t sysfs sys /mnt/sys
sudo cp /etc/resolv.conf /mnt/etc/resolv.conf
sudo chroot /mnt /bin/bash
echo "krypterad UUID=$(ls -la /dev/disk/by-uuid | grep $(basnamn /dev/sda1) | cut -d " " -f 9) ingen luks" >> /etc/crypttab
apt-get uppdatering
apt-get installera cryptsetup lvm2
utgång
Anmärkning 1. I Ubuntu 12.04 istället skär -d " " -f 9 behöver skriva klippa -d " " -f 11! Dessutom rekommenderar jag att efter kommandot echo ... /etc/crypttab, kör kommandot cat /etc/crypttab för att kontrollera att raden skrevs korrekt:
Anmärkning 2. Efter det näst sista kommandot kommer det att visas felmeddelanden, du kan ignorera dem.
Nu kan du starta om din dator och använda den installerade krypterade Ubuntu. Naturligtvis måste du i BIOS ange uppstart från flashenheten där /boot-partitionen är installerad!
I Ubuntu installerat på detta sätt kan du till och med använda viloläge, utan rädsla för att innehållet i minnet som spolas till disken blir tillgängligt för en angripare.
Det är viktigt att förstå att även med sådan total kryptering kvarstår sårbarheter.
Du måste också förstå att kryptering är skydd för den tid då din dator är avstängd och du inte är i närheten. Men när du arbetar på din dator är det fortfarande möjligt för någon att komma in i din dator. skadlig programvara från Internet. Sådana program kan "stjäla" din information medan du använder din dator och Internet.
Därför är det viktigt att vidta allmänna skyddsåtgärder. Vandra inte runt någonstans på Internet. Installera inte overifierade program. Använd en brandvägg. Och för mer allvarliga säkerhetskrav måste du använda tcb Och SELinux.
Gör en kopia startbar flash-enhet, det enklaste sättet är med kommandot dd. Skriv den här bilden till en annan flashenhet eller laserdisk. En kopia till en annan flashenhet är bekvämare eftersom du kan använda den omedelbart om det behövs. Men i alla fall kommer denna kopia, oavsett vad den sitter på, att behöva förvaras på en säker plats. Och efter att ha uppdaterat kärnan eller bootloadern måste du uppdatera en kopia av flashenheten.
Ivan Sukhov, 2012
När den här artikeln skrevs användes information från en publikation i
