Jak nastavit šifrované systémy souborů a vyměnit prostor pomocí nástroje 'Cryptsetup' v Linuxu - Část 3
LFCE (zkratka pro Linux Foundation Certified Engineer) je vyškolený a má odborné znalosti pro instalaci, správu a odstraňování problémů se síťovými službami v systémech Linux a má na starosti návrh, implementace a průběžná údržba architektury systému.
Představujeme certifikační program Linux Foundation (LFCE).
Smyslem šifrování je umožnit přístup k vašim citlivým datům pouze důvěryhodným osobám a chránit je před pádem do nesprávných rukou v případě ztráty nebo krádeže vašeho počítače/pevného disku.
Jednoduše řečeno, klíč se používá k „uzamčení“ přístupu k vašim informacím, aby byly dostupné, když je systém spuštěn a odemčen oprávněným uživatelem. To znamená, že pokud se člověk pokusí prozkoumat obsah disku (připojí ho k vlastnímu systému nebo nabootuje počítač z LiveCD/DVD/USB), najde místo skutečných souborů pouze nečitelná data.
V tomto článku probereme, jak nastavit šifrované systémy souborů pomocí dm-crypt (zkratka pro mapovač zařízení a kryptografický), standardní nástroj pro šifrování na úrovni jádra. Vezměte prosím na vědomí, že protože dm-crypt je nástroj na úrovni bloků, lze jej použít pouze k šifrování úplných zařízení, oddílů nebo smyčkových zařízení (nebude fungovat s běžnými soubory nebo adresáři).
Příprava jednotky/oddílu/zařízení smyčky pro šifrování
Protože vymažeme všechna data na našem zvoleném disku (/dev/sdb), musíme nejprve provést zálohu všech důležitých souborů obsažených v tomto oddílu PŘED pokračovat dále.
Vymažte všechna data z /dev/sdb. Zde použijeme příkaz dd, ale můžete to udělat také pomocí jiných nástrojů, jako je shred. Dále na tomto zařízení vytvoříme oddíl /dev/sdb1 podle vysvětlení v části 4 – Vytváření oddílů a souborových systémů v Linuxu řady LFCS.
dd if=/dev/urandom of=/dev/sdb bs=4096
Testování podpory šifrování
Než budeme pokračovat dále, musíme se ujistit, že naše jádro bylo zkompilováno s podporou šifrování:
grep -i config_dm_crypt /boot/config-$(uname -r)
Jak je naznačeno na obrázku výše, pro nastavení šifrování je třeba načíst modul jádra dm-crypt.
Instalace Cryptsetup
Cryptsetup je rozhraní frontendu pro vytváření, konfiguraci, přístup a správu systémů šifrovaných souborů pomocí dm-crypt.
aptitude update && aptitude install cryptsetup [On Ubuntu]
yum update && yum install cryptsetup [On CentOS]
zypper refresh && zypper install cryptsetup [On openSUSE]
Nastavení šifrovaného oddílu
Výchozí provozní režim pro cryptsetup je LUKS (Linux Unified Key Setup), takže u něj zůstaneme. Začneme nastavením oddílu LUKS a přístupové fráze:
cryptsetup -y luksFormat /dev/sdb1
Výše uvedený příkaz spustí cryptsetup s výchozími parametry, které mohou být uvedeny pomocí,
cryptsetup --version
Pokud chcete změnit parametry cipher, hash nebo key, můžete použít –cipher, < příznaky b>–hash a –key-size s hodnotami převzatými z /proc/crypto.
Dále musíme otevřít oddíl LUKS (budeme vyzváni k zadání přístupové fráze, kterou jsme zadali dříve). Pokud autentizace proběhne úspěšně, náš šifrovaný oddíl bude dostupný v /dev/mapper se zadaným názvem:
cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
Nyní naformátujeme oddíl jako ext4.
mkfs.ext4 /dev/mapper/my_encrypted_partition
a vytvořte přípojný bod pro připojení šifrovaného oddílu. Nakonec můžeme chtít potvrdit, zda byla operace připojení úspěšná.
mkdir /mnt/enc
mount /dev/mapper/my_encrypted_partition /mnt/enc
mount | grep partition
Po dokončení zápisu nebo čtení ze šifrovaného systému souborů jej jednoduše odpojte
umount /mnt/enc
a zavřete oddíl LUKS pomocí,
cryptesetup luksClose my_encrypted_partition
Testování šifrování
Nakonec zkontrolujeme, zda je náš šifrovaný oddíl bezpečný:
1. Otevřete oddíl LUKS
cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
2. Zadejte svou přístupovou frázi
3. Namontujte přepážku
mount /dev/mapper/my_encrypted_partition /mnt/enc
4. Vytvořte fiktivní soubor uvnitř přípojného bodu.
echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt
5. Ověřte, že máte přístup k souboru, který jste právě vytvořili.
cat /mnt/enc/testfile.txt
6. Odpojte systém souborů.
umount /mnt/enc
7. Zavřete oddíl LUKS.
cryptsetup luksClose my_encrypted_partition
8. Zkuste připojit oddíl jako běžný souborový systém. Mělo by to znamenat chybu.
mount /dev/sdb1 /mnt/enc
Šifrování swapového prostoru pro další zabezpečení
Heslo, které jste zadali dříve pro použití šifrovaného oddílu, je uloženo v paměti RAM, když je otevřená. Pokud se někomu tento klíč dostane do rukou, bude schopen data dešifrovat. To je obzvláště snadné udělat v případě notebooku, protože během hibernace je obsah paměti RAM uchováván na odkládacím oddílu.
Chcete-li zabránit tomu, aby kopie vašeho klíče zůstala přístupná zloději, zašifrujte odkládací oddíl podle následujících kroků:
1 Vytvořte oddíl, který bude použit jako swap, s vhodnou velikostí (v našem případě /dev/sdd1) a zašifrujte jej, jak bylo vysvětleno dříve. Pro usnadnění pojmenujte „swap “.
2.Nastavte jej jako swap a aktivujte jej.
mkswap /dev/mapper/swap
swapon /dev/mapper/swap
3. Dále změňte odpovídající položku v /etc/fstab.
/dev/mapper/swap none swap sw 0 0
4. Nakonec upravte /etc/crypttab a restartujte počítač.
swap /dev/sdd1 /dev/urandom swap
Po dokončení bootování systému můžete ověřit stav odkládacího prostoru:
cryptsetup status swap
souhrn
V tomto článku jsme prozkoumali, jak šifrovat oddíl a odkládat místo. S tímto nastavením by měla být vaše data značně v bezpečí. Nebojte se experimentovat a v případě dotazů nebo připomínek se na nás neváhejte obrátit. Stačí použít formulář níže – budeme více než rádi, když se nám ozvete!