Vyhledávání na webu

Jak nastavit šifrované systémy souborů a vyměnit prostor pomocí nástroje 'Cryptsetup' v Linuxu - Část 3


LFCE (zkratka pro Linux Foundation Certified Engineer) je vyškolený a má odborné znalosti pro instalaci, správu a odstraňování problémů se síťovými službami v systémech Linux a má na starosti návrh, implementace a průběžná údržba architektury systému.

Představujeme certifikační program Linux Foundation (LFCE).

Smyslem šifrování je umožnit přístup k vašim citlivým datům pouze důvěryhodným osobám a chránit je před pádem do nesprávných rukou v případě ztráty nebo krádeže vašeho počítače/pevného disku.

Jednoduše řečeno, klíč se používá k „uzamčení“ přístupu k vašim informacím, aby byly dostupné, když je systém spuštěn a odemčen oprávněným uživatelem. To znamená, že pokud se člověk pokusí prozkoumat obsah disku (připojí ho k vlastnímu systému nebo nabootuje počítač z LiveCD/DVD/USB), najde místo skutečných souborů pouze nečitelná data.

V tomto článku probereme, jak nastavit šifrované systémy souborů pomocí dm-crypt (zkratka pro mapovač zařízení a kryptografický), standardní nástroj pro šifrování na úrovni jádra. Vezměte prosím na vědomí, že protože dm-crypt je nástroj na úrovni bloků, lze jej použít pouze k šifrování úplných zařízení, oddílů nebo smyčkových zařízení (nebude fungovat s běžnými soubory nebo adresáři).

Příprava jednotky/oddílu/zařízení smyčky pro šifrování

Protože vymažeme všechna data na našem zvoleném disku (/dev/sdb), musíme nejprve provést zálohu všech důležitých souborů obsažených v tomto oddílu PŘED pokračovat dále.

Vymažte všechna data z /dev/sdb. Zde použijeme příkaz dd, ale můžete to udělat také pomocí jiných nástrojů, jako je shred. Dále na tomto zařízení vytvoříme oddíl /dev/sdb1 podle vysvětlení v části 4 – Vytváření oddílů a souborových systémů v Linuxu řady LFCS.

dd if=/dev/urandom of=/dev/sdb bs=4096 
Testování podpory šifrování

Než budeme pokračovat dále, musíme se ujistit, že naše jádro bylo zkompilováno s podporou šifrování:

grep -i config_dm_crypt /boot/config-$(uname -r)

Jak je naznačeno na obrázku výše, pro nastavení šifrování je třeba načíst modul jádra dm-crypt.

Instalace Cryptsetup

Cryptsetup je rozhraní frontendu pro vytváření, konfiguraci, přístup a správu systémů šifrovaných souborů pomocí dm-crypt.

aptitude update && aptitude install cryptsetup 		[On Ubuntu]
yum update && yum install cryptsetup 				[On CentOS] 
zypper refresh && zypper install cryptsetup 			[On openSUSE]

Nastavení šifrovaného oddílu

Výchozí provozní režim pro cryptsetup je LUKS (Linux Unified Key Setup), takže u něj zůstaneme. Začneme nastavením oddílu LUKS a přístupové fráze:

cryptsetup -y luksFormat /dev/sdb1

Výše uvedený příkaz spustí cryptsetup s výchozími parametry, které mohou být uvedeny pomocí,

cryptsetup --version

Pokud chcete změnit parametry cipher, hash nebo key, můžete použít –cipher, < příznaky b>–hash a –key-size s hodnotami převzatými z /proc/crypto.

Dále musíme otevřít oddíl LUKS (budeme vyzváni k zadání přístupové fráze, kterou jsme zadali dříve). Pokud autentizace proběhne úspěšně, náš šifrovaný oddíl bude dostupný v /dev/mapper se zadaným názvem:

cryptsetup luksOpen /dev/sdb1 my_encrypted_partition

Nyní naformátujeme oddíl jako ext4.

mkfs.ext4 /dev/mapper/my_encrypted_partition

a vytvořte přípojný bod pro připojení šifrovaného oddílu. Nakonec můžeme chtít potvrdit, zda byla operace připojení úspěšná.

mkdir /mnt/enc
mount /dev/mapper/my_encrypted_partition /mnt/enc
mount | grep partition

Po dokončení zápisu nebo čtení ze šifrovaného systému souborů jej jednoduše odpojte

umount /mnt/enc

a zavřete oddíl LUKS pomocí,

cryptesetup luksClose my_encrypted_partition
Testování šifrování

Nakonec zkontrolujeme, zda je náš šifrovaný oddíl bezpečný:

1. Otevřete oddíl LUKS

cryptsetup luksOpen /dev/sdb1 my_encrypted_partition

2. Zadejte svou přístupovou frázi

3. Namontujte přepážku

mount /dev/mapper/my_encrypted_partition /mnt/enc

4. Vytvořte fiktivní soubor uvnitř přípojného bodu.

echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt

5. Ověřte, že máte přístup k souboru, který jste právě vytvořili.

cat /mnt/enc/testfile.txt

6. Odpojte systém souborů.

umount /mnt/enc

7. Zavřete oddíl LUKS.

cryptsetup luksClose my_encrypted_partition

8. Zkuste připojit oddíl jako běžný souborový systém. Mělo by to znamenat chybu.

mount /dev/sdb1 /mnt/enc

Šifrování swapového prostoru pro další zabezpečení

Heslo, které jste zadali dříve pro použití šifrovaného oddílu, je uloženo v paměti RAM, když je otevřená. Pokud se někomu tento klíč dostane do rukou, bude schopen data dešifrovat. To je obzvláště snadné udělat v případě notebooku, protože během hibernace je obsah paměti RAM uchováván na odkládacím oddílu.

Chcete-li zabránit tomu, aby kopie vašeho klíče zůstala přístupná zloději, zašifrujte odkládací oddíl podle následujících kroků:

1 Vytvořte oddíl, který bude použit jako swap, s vhodnou velikostí (v našem případě /dev/sdd1) a zašifrujte jej, jak bylo vysvětleno dříve. Pro usnadnění pojmenujte „swap “.

2.Nastavte jej jako swap a aktivujte jej.

mkswap /dev/mapper/swap
swapon /dev/mapper/swap

3. Dále změňte odpovídající položku v /etc/fstab.

/dev/mapper/swap none        	swap	sw          	0   	0

4. Nakonec upravte /etc/crypttab a restartujte počítač.

swap               /dev/sdd1         /dev/urandom swap

Po dokončení bootování systému můžete ověřit stav odkládacího prostoru:

cryptsetup status swap

souhrn

V tomto článku jsme prozkoumali, jak šifrovat oddíl a odkládat místo. S tímto nastavením by měla být vaše data značně v bezpečí. Nebojte se experimentovat a v případě dotazů nebo připomínek se na nás neváhejte obrátit. Stačí použít formulář níže – budeme více než rádi, když se nám ozvete!