LUKS: Linuxi kõvaketta andmete krüptimine NTFS-toega
Lühend LUKS tähistab Linuxi ühtse võtme seadistust , mis on laialdaselt ketta krüptimise meetod, mida Linuxi kernel kasutab ja mida rakendatakse paketiga cryptsetup .
Käsurida cryptsetup krüptib lennuplaanil oleva heliketta, kasutades sümmeetrilist krüpteerimisvõtit, mis on tuletatud kaasasolevast paroolist, mis antakse iga kord, kui helikettale, sektsioonile ja ka kogu kettale (isegi USB-mälupulgale) paigaldatakse failisüsteemi hierarhia ja kasutab šifrit aes-cbc-essiv: sha256 .
Kuna LUKS suudab Linuxi süsteemides krüptida kogu plokkseadme (kõvakettad, USB-mälupulgad, Flash-kettad, partitsioonid, helirühmad jne), on see enamasti soovitatav eemaldatavate andmekandjate, sülearvuti kõvaketaste või Linuxi vahetusfailide kaitsmiseks ega soovitata failide jaoks taseme krüptimine.
NTFS (uue tehnoloogia failisüsteem) on Microsofti välja töötatud patenteeritud failisüsteem.
Ubuntu 14.04 pakub paketi ntfs-3g abil täielikku tuge LUKS-i krüptimiseks ja ka Windowsi NTFS-i kohalikku tuge.
Selles õpetuses oma mõtte tõestamiseks lisasin lahtrisse Ubuntu 14.04 uue kõvaketta (4.) (süsteemi viide äsja lisatud HDD-le on /dev/sdd ), mis jaguneb kaheks jaotuseks.
- Üks partitsioon (/dev/sdd1 -primaarne), mida kasutatakse LUKS-i krüptimiseks.
- Teine sektsioon (/dev/sdd5 - laiendatud) vormindas NTFS-i andmetele juurdepääsuks nii Linuxi kui ka Windowsi põhistes süsteemides.
Samuti paigaldatakse sektsioonid pärast taaskäivitamist automaatselt Ubuntu 14.04-le.
1. samm: looge ketaspartitsioonid
1. Pärast kõvaketta füüsilist lisamist arvutisse kasutage kõigi /dev/seadmete loendit käsuga ls (neljas ketas on /dev/sdd ).
# ls /dev/sd*
2. Järgmisena kontrollige oma hiljuti lisatud kõvaketast käsuga fdisk .
$ sudo fdisk –l /dev/sdd
Kuna failisüsteemi polnud veel kirjutatud, ei sisalda ketas veel kehtivat partitsioonitabelit.
3. Järgmised toimingud lõikavad kõvaketta kahe sektsiooni tulemuse jaoks, kasutades kettakomplekti cfdisk .
$ sudo cfdisk /dev/sdd
4. Järgmine ekraan avab interaktiivse režiimi cfdisk . Valige oma kõvaketas Vaba ruum ja navigeerige vasakule/paremale klahvi nooltega suvandile Uus .
5. Valige jaotise tüübiks Peamine ja vajutage nuppu Enter .
6. Kirjutage soovitud partitsiooni suurus MB -i.
7. Looge see partitsioon kõvakettal oleva vaba ruumi Algus juures.
8. Järgmisena navigeerige jaotise Tüüp suvandini ja vajutage nuppu Enter .
9. Järgmine viip esitab loendi igat tüüpi failisüsteemist ja nende numbrikoodist (kuuskantnumber). See sektsioon on Linux LUKS krüptitud, nii et valige partii loomiseks kood 83 ja vajutage uuesti nuppu Enter .
10. Luuakse esimene sektsioon ja utiliit cfdisk läheb tagasi algusesse. NTFS -ina kasutatava teise sektsiooni loomiseks valige ülejäänud vaba ruum , liikuge valikule Uus ja vajutage nuppu Enter .
11. Seekord on partitsioon laiendatud loogiline . Niisiis, liikuge valikule Loogiline ja vajutage uuesti nuppu Enter .
12. Sisestage oma partitsiooni suurus uuesti. Ülejäänud vaba ruumi kasutamiseks uue partitsioonina jätke vaikeväärtus suurusele ja vajutage lihtsalt nuppu Enter .
13. Valige uuesti partitsiooni tüüpi kood. Failisüsteemi NTFS jaoks valige helikood 86 .
14. Pärast partitsioonide ülevaatamist ja kontrollimist valige Kirjutage , järgmisele interaktiivsele viipeküsimusele vastake jah ja seejärel Lõpeta , et jätta cfdisk utiliit.
Palju õnne! Teie sektsioonid on edukalt loodud ja on nüüd vormindamiseks ja kasutamiseks valmis.
15. Ketta partitsioonitabeli uuesti kinnitamiseks väljastage uuesti käsk fdisk , mis näitab üksikasjalikku teavet partitsioonitabeli kohta.
$ sudo fdisk –l /dev/sdd
2. samm: looge partitsioonifailisüsteem
16. Failisüsteemi NTFS loomiseks teises partitsioonis käivitage käsk mkfs .
$ sudo mkfs.ntfs /dev/sdd5
17. Jaotise kättesaadavaks tegemiseks peab see olema paigaldatud failisüsteemi ühenduspunkti. Paigaldage teine partitsioon neljandale kõvakettale, et /opt ühenduspunkt kasutada käsku mount .
$ sudo mount /dev/sdd5 /opt
18. Seejärel kontrollige kassi käsu abil, kas partitsioon on saadaval ja kas see on loetletud failis /etc/mtab .
$ cat /etc/mtab
19. Jaotise eemaldamiseks kasutage järgmist käsku.
$ sudo umount /opt
20. Veenduge, et cryptsetup on teie süsteemi installitud.
$ sudo apt-get install cryptsetup [On Debian Based Systems] # yum install cryptsetup [On RedHat Based Systems]
21. Nüüd on aeg neljas kõvakettal esimene partitsioon vormindada failisüsteemiga ext4 , väljastades järgmise käsu.
$ sudo luksformat -t ext4 /dev/sdd1
Vastake küsimusega „ Kas olete kindel? “ suure algustähega JAH ja sisestage soovitud parool kolm korda.
Märkus. Sõltuvalt teie partitsiooni suurusest ja kõvakettast võib failisüsteemi loomise kiirus aega võtta.
22. Samuti saate kontrollida jaotusseadme olekut.
$ sudo cryptsetup luksDump /dev/sdd1
23. LUKS toetab maksimaalselt 8 lisatud parooli. Parooli lisamiseks kasutage järgmist käsku.
$ sudo cryptsetup luksAddKey /dev/sdd1
Parooli eemaldamiseks kasutage.
$ sudo cryptsetup luksRemoveKey /dev/sdd1
24. Selle krüpteeritud sektsiooni aktiivseks toimimiseks peab sellel olema cryptsetup /dev/mapper kataloogi nimi (initsialiseeritud). > pakett.
See seade nõuab järgmist käsurea süntaksit:
$ sudo cryptsetup luksOpen /dev/LUKS_partiton device_name
Kus seadme_nimi võib olla mis tahes kirjeldav nimi, mis teile meeldib! (Olen nimetanud seda oma crypted_mahum ). Tegelik käsk näeb välja selline, nagu allpool näidatud.
$ sudo cryptsetup luksOpen /dev/sdd1 crypted_volume
25. Seejärel kontrollige, kas teie seade on loetletud saidil /dev/mapper , kataloogis, sümboolses lingis ja seadme olekus.
$ ls /dev/mapper $ ls –all /dev/mapper/encrypt_volume
$ sudo cryptsetup –v status encrypt_volume
26. Jaotusseadme laialdaselt kättesaadavaks muutmiseks ühendage see oma süsteemiga ühenduspunkti all, kasutades käsku mount.
$ sudo mount /dev/mapper/crypted_volume /mnt
Nagu näha, on partitsioon paigaldatud ja juurdepääsetav andmete kirjutamiseks.
27. Selleks, et see ei oleks saadaval, eemaldage see lihtsalt oma süsteemist ja sulgege seade.
$ sudo umount /mnt $ sudo cryptsetup luksClose crypted_volume
3. samm: paigaldage partitsioon automaatselt
Kui kasutate fikseeritud kõvaketast ja vajate, et mõlemad partitsioonid oleksid pärast taaskäivitamist automaatselt süsteemi ühendatud, peate järgima kahte sammu.
28. Esmalt muutke faili /etc/crypttab ja lisage järgmised andmed.
$ sudo nano /etc/crypttab
- Sihtnimi : teie seadme kirjeldav nimi (vt EXT4 LUKS ülalolevat punkti 22 ).
- Lähteketas : kõvaketta sektsioon vormindati rakenduse LUKS jaoks (vt ülaltoodud punkti 21 saidil EXT4 LUKS ) ).
- Võtmefail : valige ükski
- Valikud : määrake luks
Viimane rida oleks selline, nagu allpool näidatud.
encrypt_volume /dev/sdd1 none luks
29. Seejärel muutke /etc/fstab ja määrake oma seadme nimi, ühenduspunkt, failisüsteemi tüüp ja muud valikud.
$ sudo nano /etc/fstab
Viimasel real kasutage järgmist süntaksit.
/dev/mapper/device_name (or UUID) /mount_point filesystem_type options dump pass
Ja lisage oma konkreetne sisu.
/dev/mapper/encrypt_volume /mnt ext4 defaults,errors=remount-ro 0 0
30. Seadme UUID hankimiseks kasutage järgmist käsku.
$ sudo blkid
31. Varem loodud partitsiooni tüübi NTFS lisamiseks kasutage fstab uuel real sama süntaksit nagu ülalpool (siin kasutatakse Linuxi faili lisamise ümbersuunamist).
$ sudo su - # echo "/dev/sdd5 /opt ntfs defaults 0 0" >> /etc/fstab
32. Muudatuste kinnitamiseks taaskäivitage oma arvuti, vajutage pärast alglaadimist teadet „ Võrguseadme konfigureerimise alustamine “ ja sisestage oma seadme parool .
Nagu näete, paigaldati mõlemad ketta sektsioonid automaatselt Ubuntu failisüsteemi hierarhiasse. Nõuanne on, et ärge kasutage füüsiliselt kaugserverites fstab-failist automaatselt krüptitud köiteid, kui teil pole juurdepääsu krüpteeritud helitugevuse parooli edastamise järjestusele.
Samu seadeid saab rakendada igat tüüpi eemaldatavale andmekandjale, näiteks USB-mälupulgale, välkmälule, välisele kõvakettale jms, et kaitsta olulisi, salajasi või tundlikke andmeid pealtkuulamise või varastamise korral.