Vyhledávání na webu

LUKS: Šifrování dat pevného disku Linux s podporou NTFS v Linuxu

Zkratka LUKS znamená Linux Unified Key Setup, což je široce používaná metoda šifrování disku používaná jádrem Linuxu a je implementována pomocí balíčku cryptsetup.

Příkazový řádek cryptsetup zašifruje disk svazku za běhu pomocí symetrického šifrovacího klíče odvozeného z dodané přístupové fráze, která je poskytnuta pokaždé, když je disk svazku, diskový oddíl a také celý disk (dokonce i klíčenka USB) připojen hierarchii souborového systému a používá šifru aes-cbc-essiv:sha256.

Protože LUKS dokáže zašifrovat celá bloková zařízení (pevné disky, USB klíčenky, Flash disky, oddíly, skupiny svazků atd.), na systémech Linux se do značné míry doporučuje pro ochranu vyměnitelných úložných médií, pevných disků notebooků nebo odkládacích souborů Linux a nedoporučuje se pro soubory. úroveň šifrování.

NTFS (New Technology File System) je proprietární systém souborů vyvinutý společností Microsoft.

Ubuntu 14.04 poskytuje plnou podporu pro šifrování LUKS a také nativní podporu NTFS pro Windows pomocí balíčku ntfs-3g.

Abych dokázal svůj názor v tomto tutoriálu, přidal jsem nový pevný disk (4.) do pole Ubuntu 14.04 (systémový odkaz na nově přidaný HDD je /dev/sdd ), který bude rozdělen na dva oddíly.

  1. Jeden oddíl (/dev/sdd1 -primary) používaný pro šifrování LUKS.
  2. Druhý oddíl (/dev/sdd5 – rozšířený) formátoval NTFS pro přístup k datům na systémech Linux i Windows.

Také oddíly budou automaticky připojeny na Ubuntu 14.04 po restartu.

Krok 1: Vytvořte diskové oddíly

1. Po fyzickém přidání pevného disku na váš počítač použijte příkaz ls k vypsání všech /dev/devices (čtvrtý disk je /dev/sdd).

ls /dev/sd*

2. Dále zkontrolujte nově přidaný pevný disk pomocí příkazu fdisk.

sudo fdisk –l /dev/sdd

Protože nebyl napsán žádný souborový systém, disk zatím neobsahuje platnou tabulku oddílů.

3. Následující kroky rozdělí pevný disk na dva oddíly pomocí diskového nástroje cfdisk.

sudo cfdisk /dev/sdd

4. Na další obrazovce se otevře interaktivní režim cfdisk. Vyberte Volné místo na vašem pevném disku a pomocí šipek vlevo/vpravo přejděte na možnost Nový.

5. Vyberte typ oddílu jako Primární a stiskněte Enter.

6. Zapište si požadovanou velikost oddílu v MB.

7. Vytvořte tento oddíl na Začátku volného místa na pevném disku.

8. Dále přejděte na možnost Typ oddílu a stiskněte Enter.

9. Další výzva představuje seznam všech typů souborových systémů a jejich číselný kód ( Hex číslo). Tento oddíl bude šifrován Linux LUKS, takže vyberte kód 83 a znovu stiskněte Enter pro vytvoření oddílu.

10. Vytvoří se první oddíl a výzva nástroje cfdisk se vrátí na začátek. Chcete-li vytvořit druhý oddíl používaný jako NTFS, vyberte zbývající Volné místo, přejděte na možnost Nový a stiskněte klávesu Enter .

11. Tentokrát bude oddíl Extended Logical. Přejděte tedy na možnost Logické a znovu stiskněte Enter.

12. Zadejte znovu velikost oddílu. Pro využití zbývajícího volného místa jako nového oddílu ponechte výchozí hodnotu velikosti a stiskněte Enter.

13. Znovu zvolte kód typu oddílu. Pro souborový systém NTFS zvolte kód svazku 86.

14. Po zkontrolování a ověření oddílů vyberte Zapsat, na další interaktivní dotaz odpovězte ano a poté Konec opusťte < b>cfdisk nástroj.

Gratulujeme ! Vaše oddíly byly úspěšně vytvořeny a nyní jsou připraveny k formátování a použití.

15. Pro opětovné ověření disku Tabulku oddílů zadejte znovu příkaz fdisk, který zobrazí podrobné informace o tabulce oddílů.

sudo fdisk –l /dev/sdd

Krok 2: Vytvořte systém souborů oddílu

Souborový systém NTFS

16. Chcete-li vytvořit souborový systém NTFS na druhém oddílu, spusťte příkaz mkfs.

sudo mkfs.ntfs /dev/sdd5

17. Aby byl oddíl dostupný, musí být připojen k systému souborů k bodu připojení. Připojte druhý oddíl na čtvrtý pevný disk k bodu připojení /opt pomocí příkazu mount.

sudo mount /dev/sdd5 /opt

18. Dále pomocí příkazu cat zkontrolujte, zda je oddíl dostupný a zda je uveden v souboru /etc/mtab.

cat /etc/mtab

19. K odpojení oddílu použijte následující příkaz.

sudo umount /opt
EXT4 LUKS

20. Ujistěte se, že je ve vašem systému nainstalován balíček cryptsetup.

sudo apt-get install cryptsetup		[On Debian Based Systems]

yum install cryptsetup				[On RedHat Based Systems]

21. Nyní je čas naformátovat první oddíl na čtvrtém pevném disku pomocí souborového systému ext4 zadáním následujícího příkazu.

sudo luksformat  -t ext4  /dev/sdd1

Odpovězte velkým ANO na otázku „Jste si jistý?“ a zadejte třikrát požadovanou přístupovou frázi.

Poznámka: V závislosti na velikosti oddílu a rychlosti HDD může vytvoření souborového systému chvíli trvat.

22. Můžete také ověřit stav zařízení oddílu.

sudo cryptsetup luksDump  /dev/sdd1

23. LUKS podporuje maximálně 8 přidaných hesel. Chcete-li přidat heslo, použijte následující příkaz.

sudo cryptsetup luksAddKey /dev/sdd1

Chcete-li odebrat heslo, použijte.

sudo cryptsetup luksRemoveKey /dev/sdd1

24. Aby byl tento šifrovaný oddíl aktivní, musí mít záznam názvu (být inicializován) do adresáře /dev/mapper pomocí balíček cryptsetup.

Toto nastavení vyžaduje následující syntaxi příkazového řádku:

sudo cryptsetup luksOpen  /dev/LUKS_partiton  device_name

Kde „název_zařízení“ může být jakýkoli popisný název, který se vám líbí! (Nazval jsem to moje crypted_volume). Skutečný příkaz bude vypadat následovně.

sudo cryptsetup luksOpen  /dev/sdd1 crypted_volume

25. Poté ověřte, zda je vaše zařízení uvedeno na /dev/mapper, adresář, symbolický odkaz a stav zařízení.

ls /dev/mapper
ls –all /dev/mapper/encrypt_volume

sudo cryptsetup –v status encrypt_volume

26. Nyní, aby bylo zařízení oddílu široce dostupné, připojte jej k systému pod bod připojení pomocí příkazu mount.

sudo mount  /dev/mapper/crypted_volume  /mnt

Jak je vidět, oddíl je připojen a přístupný pro zápis dat.

27. Chcete-li jej znepřístupnit, stačí jej odpojit od systému a zavřít zařízení.

sudo umount  /mnt
sudo cryptsetup luksClose crypted_volume

Krok 3: Automaticky připojit oddíl

Pokud používáte pevný disk a potřebujete, aby byly oba oddíly automaticky připojeny k systému po restartu, musíte provést tyto dva kroky.

28. Nejprve upravte soubor /etc/crypttab a přidejte následující data.

sudo nano /etc/crypttab
  1. Cílový název: Popisný název vašeho zařízení (viz výše bod 22 na EXT4 LUKS).
  2. Zdrojová jednotka: Oddíl pevného disku naformátovaný pro LUKS (viz výše bod 21 na EXT4 LUKS).
  3. Soubor klíče: Nevybírejte žádný
  4. Možnosti: Zadejte luks

Poslední řádek bude vypadat následovně.

encrypt_volume               /dev/sdd1          none       luks

29. Poté upravte /etc/fstab a zadejte název zařízení, bod připojení, typ systému souborů a další možnosti.

sudo nano /etc/fstab

Na posledním řádku použijte následující syntaxi.

/dev/mapper/device_name (or UUID)	/mount_point     filesystem_type     options    dump   pass

A přidejte svůj konkrétní obsah.

/dev/mapper/encrypt_volume      /mnt    ext4    defaults,errors=remount-ro     0     0

30. Chcete-li získat UUID zařízení, použijte následující příkaz.

sudo blkid

31. Chcete-li také přidat dříve vytvořený typ oddílu NTFS, použijte stejnou syntaxi jako výše na novém řádku v fstab ( zde přesměrování připojeného souboru Linux se používá ).

sudo su -
echo "/dev/sdd5	/opt	ntfs		defaults		0              0"  >> /etc/fstab

32. Pro ověření změn restartujte svůj počítač stisknutím Enter po zaváděcí zprávě „Spouštění konfigurace síťového zařízení“ a zadejte heslo vašeho zařízení.

Jak můžete vidět, oba diskové oddíly byly automaticky připojeny k hierarchii souborového systému Ubuntu. Doporučuje se nepoužívat automaticky šifrované svazky ze souboru fstab na fyzicky vzdálených serverech, pokud nemáte přístup k sekvenci restartu pro zadání hesla k zašifrovanému svazku.

Stejná nastavení lze použít na všechny typy vyměnitelných médií, jako je USB flash disk, flash paměť, externí pevný disk atd. pro ochranu důležitých, tajných nebo citlivých dat v případě odposlechu nebo krádeže.