Kā iestatīt šifrētas failu sistēmas un nomainīt vietu, izmantojot kriptogrāfijas rīku Linux - 3. daļa
LFCE (saīsinājums no Linux Foundation sertificēta inženiera ) ir apmācīts, un viņam ir pieredze tīkla pakalpojumu instalēšanai, pārvaldīšanai un problēmu novēršanai Linux sistēmās, un viņš ir atbildīgs par sistēmas arhitektūras projektēšana, ieviešana un pastāvīga uzturēšana.
Iepazīstinām ar Linux Foundation sertifikācijas programmu (LFCE).
Šifrēšanas ideja ir atļaut tikai uzticamām personām piekļūt jūsu sensitīvajiem datiem un pasargāt tos no nonākšanas nepareizās rokās, ja jūsu mašīna/cietais disks nozaudēts vai nozagts.
Vienkārši sakot, atslēga tiek izmantota, lai bloķētu piekļuvi jūsu informācijai, lai tā kļūtu pieejama, kad sistēma darbojas un atbloķē pilnvarots lietotājs. Tas nozīmē, ka, ja persona mēģina pārbaudīt diska saturu (pievienojot to savai sistēmai vai palaižot mašīnu ar LiveCD/DVD/USB), viņš faktisko failu vietā atradīs tikai neizlasāmus datus.
Šajā rakstā mēs apspriedīsim, kā iestatīt šifrētas failu sistēmas ar dm-crypt (saīsinājums no ierīces kartētāja un kriptogrāfijas), standarta kodola līmeņa šifrēšanas rīka. Lūdzu, ņemiet vērā, ka, tā kā dm-crypt ir bloka līmeņa rīks, to var izmantot tikai pilnīgu ierīču, nodalījumu vai cilpu ierīču šifrēšanai (nedarbosies parastajos failos vai direktorijos).
Diska/nodalījuma/cilpa ierīces sagatavošana šifrēšanai
Tā kā mēs izdzēsīsim visus mūsu izvēlētajā diskā esošos datus (/dev/sdb ), vispirms mums ir jāveic visu svarīgo failu dublējums, kas atrodas šajā nodalījumā PIRMS turpināt darbu.
Noslaukiet visus datus no /dev/sdb . Mēs šeit izmantosim komandu dd , taču to varat izdarīt arī ar citiem rīkiem, piemēram, sasmalcināt . Pēc tam mēs šajā ierīcē izveidosim nodalījumu /dev/sdb1 , ievērojot 4. daļā sniegto skaidrojumu - partiju un failu sistēmu izveidošana LFCS sērijas Linux.
# dd if=/dev/urandom of=/dev/sdb bs=4096
Pirms turpināt darbu, mums jāpārliecinās, vai mūsu kodols ir apkopots ar šifrēšanas atbalstu:
# grep -i config_dm_crypt /boot/config-$(uname -r)
Kā norādīts iepriekš redzamajā attēlā, kodēšanas modulis dm-crypt ir jāielādē, lai iestatītu šifrēšanu.
Cryptsetup ir priekšējā saskarne, lai izveidotu, konfigurētu, piekļūtu un pārvaldītu šifrētas failu sistēmas, izmantojot dm-crypt .
# aptitude update && aptitude install cryptsetup [On Ubuntu] # yum update && yum install cryptsetup [On CentOS] # zypper refresh && zypper install cryptsetup [On openSUSE]
Kriptogrāfijas iestatīšanas noklusējuma darbības režīms ir LUKS ( Linux vienotās atslēgas iestatīšana ), tāpēc mēs to ievērosim. Mēs sāksim ar LUKS nodalījuma un ieejas frāzes iestatīšanu:
# cryptsetup -y luksFormat /dev/sdb1
Iepriekš minētā komanda izpilda cryptsetup ar noklusējuma parametriem, kurus var uzskaitīt ar
# cryptsetup --version
Ja vēlaties mainīt parametrus šifrs , hash vai key , varat izmantot –cipher , < b> –hash un –key-size attiecīgi ar vērtībām, kas ņemtas no /proc/crypto .
Pēc tam mums jāatver LUKS nodalījums (mums tiks piedāvāts ievadīt ieejas frāzi, kuru ievadījām iepriekš). Ja autentifikācija izdosies, mūsu šifrētais nodalījums būs pieejams vietnē /dev/mapper ar norādīto nosaukumu:
# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
Tagad mēs formatēsim nodalījumu kā ext4 .
# mkfs.ext4 /dev/mapper/my_encrypted_partition
un izveidojiet pievienošanas punktu, lai uzstādītu šifrēto nodalījumu. Visbeidzot, mēs varam vēlēties apstiprināt, vai montāžas darbība ir izdevusies.
# mkdir /mnt/enc # mount /dev/mapper/my_encrypted_partition /mnt/enc # mount | grep partition
Kad esat pabeidzis rakstīt uz šifrēto failu sistēmu vai lasīt no tās, vienkārši atvienojiet to
# umount /mnt/enc
un aizveriet LUKS nodalījumu, izmantojot
# cryptesetup luksClose my_encrypted_partition
Visbeidzot, mēs pārbaudīsim, vai mūsu šifrētais nodalījums ir drošs:
1. Atveriet LUKS nodalījumu
# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
2. Ievadiet paroli
3. Uzstādiet nodalījumu
# mount /dev/mapper/my_encrypted_partition /mnt/enc
4. Pievienošanas punkta iekšpusē izveidojiet fiktīvu failu.
# echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt
5. Pārbaudiet, vai varat piekļūt tikko izveidotajam failam.
# cat /mnt/enc/testfile.txt
6. Atvienojiet failu sistēmu.
# umount /mnt/enc
7. Aizveriet LUKS nodalījumu.
# cryptsetup luksClose my_encrypted_partition
8. Mēģiniet nodalīt nodalījumu kā parastu failu sistēmu. Tam vajadzētu norādīt uz kļūdu.
# mount /dev/sdb1 /mnt/enc
Šifrējiet maiņas vietu tālākai drošībai
Šifrētā nodalījuma izmantošanai iepriekš ievadītā ieejas frāze tiek saglabāta RAM atmiņā, kamēr tā ir atvērta. Ja kāds var dabūt rokā šo atslēgu, viņš varēs atšifrēt datus. Tas ir īpaši viegli izdarāms klēpjdatora gadījumā, jo, pārziemojot, RAM saturs tiek turēts mijmaiņas nodalījumā.
Lai atslēgas kopiju neatstātu pieejamu zaglim, šifrējiet mijmaiņas nodalījumu, veicot šīs darbības:
1 Izveidojiet nodalījumu, kas jāizmanto kā mijmaiņa ar atbilstošu izmēru (/dev/sdd1 mūsu gadījumā), un šifrējiet to, kā paskaidrots iepriekš. Ērtības labad nosauciet to tikai kā “ nomainīt ”.
2. Iestatiet to kā mijmaiņu un aktivizējiet.
# mkswap /dev/mapper/swap # swapon /dev/mapper/swap
3. Pēc tam nomainiet atbilstošo ierakstu /etc/fstab .
/dev/mapper/swap none swap sw 0 0
4. Visbeidzot, rediģējiet /etc/crypttab un restartējiet.
swap /dev/sdd1 /dev/urandom swap
Kad sistēma ir pabeigusi sāknēšanu, varat pārbaudīt mijmaiņas vietas statusu:
# cryptsetup status swap
Kopsavilkums
Šajā rakstā mēs esam izpētījuši, kā šifrēt nodalījumu un apmainīt vietu. Izmantojot šo iestatījumu, jūsu datiem jābūt ievērojami drošiem. Jūtieties brīvi eksperimentēt un nevilcinieties sazināties ar mums, ja jums ir jautājumi vai komentāri. Vienkārši izmantojiet zemāk esošo veidlapu - mēs priecāsimies par jums uzzināt!