Krüptitud failisüsteemide seadistamine ja ruumi vahetamine krüpteerimistööriista abil Linuxis - 3. osa
LFCE (lühidalt Linux Foundationi diplomeeritud insener ) on koolitatud ja tal on teadmised Linuxi süsteemide võrguteenuste installimiseks, haldamiseks ja tõrkeotsinguks ning ta vastutab süsteemi arhitektuuri kujundamine, juurutamine ja pidev hooldamine.
Tutvustame Linux Foundationi sertifitseerimisprogrammi (LFCE).
Krüpteerimise mõte on võimaldada teie usaldusväärsetele andmetele juurde pääseda ainult usaldusväärsetel isikutel ja kaitsta neid masina/kõvaketta kaotamise või varguse korral valedesse kätesse sattumise eest.
Lihtsamalt öeldes kasutatakse võtit teie teabele juurdepääsu\" lukustamiseks ", nii et see muutub kättesaadavaks siis, kui süsteem töötab ja on volitatud kasutaja poolt lukust lahti. See tähendab, et kui keegi proovib uurige ketta sisu (ühendage see oma süsteemi või käivitage masin LiveCD/DVD/USB abil), leiab ta tegelike failide asemel ainult loetamatu teabe.
Selles artiklis käsitleme, kuidas seadistada krüpteeritud failisüsteeme standardse kernelitaseme krüptimisriistaga dm-crypt (lühidalt seadme kaardistaja ja krüptograafia). Pange tähele, et kuna dm-crypt on plokitaseme tööriist, saab seda kasutada ainult täielike seadmete, sektsioonide või silmuseadmete krüptimiseks (ei tööta tavalistes failides ega kataloogides).
Draivi/sektsiooni/silmuseadme ettevalmistamine krüptimiseks
Kuna pühime kõik valitud draivis olevad andmed (/dev/sdb ), peame kõigepealt tegema varukoopia kõigist selles partitsioonis sisalduvatest olulistest failidest ENNE jätkates edasi.
Pühkige kõik andmed saidilt /dev/sdb . Kasutame siin käsku dd , kuid saate seda teha ka muude tööriistadega, näiteks purustage . Järgmisena loome selles seadmes partitsiooni /dev/sdb1 , järgides selgitust 4. osas - LFCS-seeria jaotiste ja failisüsteemide loomine Linuxis.
# dd if=/dev/urandom of=/dev/sdb bs=4096
Enne kui jätkame, peame veenduma, et meie tuum on kompileeritud krüpteerimistoega:
# grep -i config_dm_crypt /boot/config-$(uname -r)
Nagu ülaltoodud pildil on välja toodud, tuleb krüptimise seadistamiseks laadida kerneli moodul dm-crypt .
Cryptsetup on kasutajaliides krüptitud failisüsteemide loomiseks, konfigureerimiseks, neile juurdepääsemiseks ja haldamiseks, kasutades dm-crypt .
# aptitude update && aptitude install cryptsetup [On Ubuntu] # yum update && yum install cryptsetup [On CentOS] # zypper refresh && zypper install cryptsetup [On openSUSE]
Krüptiseadistuse vaikerežiim on LUKS ( Linuxi ühtse võtme seadistamine ), nii et me jääme sellest kindlaks. Alustame LUKS-i sektsiooni ja parooli määramisega:
# cryptsetup -y luksFormat /dev/sdb1
Eespool olev käsk käivitab cryptsetup vaikeparameetritega, mille saab loetleda
# cryptsetup --version
Kui soovite muuta šifri , räsi või võtme parameetreid, võite kasutada –cipher , < b> –hash ja –key-size lipud vastavalt väärtusega /proc/crypto .
Järgmisena peame avama LUKS-i sektsiooni (meil palutakse sisestada parool, mille sisestasime varem). Kui autentimine õnnestub, on meie krüptitud partitsioon saadaval /dev/mapper -is määratud nimega:
# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
Nüüd vormindame partitsiooni vorminguks ext4 .
# mkfs.ext4 /dev/mapper/my_encrypted_partition
ja looge krüptitud sektsiooni ühendamiseks ühenduspunkt. Lõpuks võime soovida kinnitada, kas ühendamisoperatsioon õnnestus.
# mkdir /mnt/enc # mount /dev/mapper/my_encrypted_partition /mnt/enc # mount | grep partition
Kui olete krüptitud failisüsteemi kirjutanud või sellest lugenud, eemaldage see lihtsalt
# umount /mnt/enc
ja sulgege LUKS-i partitsioon, kasutades
# cryptesetup luksClose my_encrypted_partition
Lõpuks kontrollime, kas meie krüpteeritud partitsioon on ohutu:
1. Avage LUKS-i sektsioon
# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
2. Sisestage parool
3. Paigaldage vahesein
# mount /dev/mapper/my_encrypted_partition /mnt/enc
4. Looge ühenduspunkti sisse näiv fail.
# echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt
5. Veenduge, et pääsete juurde äsja loodud failile.
# cat /mnt/enc/testfile.txt
6. Ühendage failisüsteem lahti.
# umount /mnt/enc
7. Sulgege LUKS-i sektsioon.
# cryptsetup luksClose my_encrypted_partition
8. Proovige partitsiooni ühendada tavalise failisüsteemina. See peaks näitama viga.
# mount /dev/sdb1 /mnt/enc
Krüpteerige vahetusruum täiendava turvalisuse tagamiseks
Varem krüptitud sektsiooni kasutamiseks sisestatud parool salvestatakse RAM -i mällu, kui see on avatud. Kui keegi suudab selle võtme kätte saada, saab ta andmed dekrüpteerida. Seda on eriti lihtne teha sülearvuti puhul, kuna talveunerežiimis hoitakse RAM-i sisu vahetuspartitsioonil.
Vältimaks võtme koopia vargale juurdepääsu võimaldamist, krüpteerige vahetuspartitsioon järgmiselt.
1 Looge sobiva suurusega vahetusvahetusena kasutatav partitsioon (meie puhul /dev/sdd1 ) ja krüpteerige see, nagu varem selgitatud. Nimetage see mugavuse huvides lihtsalt\" vahetage ". '
2. Määrake see vahetamiseks ja aktiveerige.
# mkswap /dev/mapper/swap # swapon /dev/mapper/swap
3. Järgmisena muutke vastavat kirjet kaustas /etc/fstab .
/dev/mapper/swap none swap sw 0 0
4. Lõpuks muutke /etc/crypttab ja taaskäivitage.
swap /dev/sdd1 /dev/urandom swap
Kui süsteem on taaskäivitamise lõpetanud, saate kontrollida vahetusruumi olekut:
# cryptsetup status swap
Kokkuvõte
Selles artiklis oleme uurinud, kuidas sektsiooni krüptida ja ruumi vahetada. Selle seadistuse korral peaksid teie andmed olema märkimisväärselt turvalised. Katsetage julgelt ja pöörduge julgesti meie poole, kui teil on küsimusi või kommentaare. Kasutage lihtsalt allolevat vormi - meil on rohkem kui hea meel kuulda!