Hvernig á að setja upp dulkóðuð skráarkerfi og skipta um pláss með því að nota Cryptsetup Tool í Linux - Part 3

LFCE (stutt fyrir Linux Foundation Certified Engineer) er þjálfaður og hefur sérfræðiþekkingu til að setja upp, stjórna og bilanaleita netþjónustu í Linux kerfum og hefur umsjón með hönnun, innleiðingu og áframhaldandi viðhald kerfisarkitektúrsins.

Við kynnum Linux Foundation Certification Program (LFCE).

Hugmyndin á bak við dulkóðun er að leyfa aðeins traustum aðilum að fá aðgang að viðkvæmum gögnum þínum og vernda þau frá því að falla í rangar hendur ef vélin þín/harður diskur tapast eða þjófnaður.

Í einföldu máli er lykill notaður til að \læsa aðgang að upplýsingum þínum, þannig að þær verði aðgengilegar þegar kerfið er í gangi og opnað af viðurkenndum notanda. Þetta þýðir að ef einstaklingur reynir að skoða innihald disksins (tengja það við sitt eigið kerfi eða með því að ræsa vélina með LiveCD/DVD/USB), mun hann aðeins finna ólæsileg gögn í stað raunverulegra skráa.

Í þessari grein munum við ræða hvernig á að setja upp dulkóðuð skráarkerfi með dm-crypt (stutt fyrir device mapper og cryptographic), staðlaða dulkóðunartólið á kjarnastigi. Vinsamlegast athugaðu að þar sem dm-crypt er tól á blokkarstigi, er aðeins hægt að nota það til að dulkóða öll tæki, skipting eða lykkjutæki (mun ekki virka á venjulegum skrám eða möppum).

Að undirbúa drif/skipting/lykkjutæki fyrir dulkóðun

Þar sem við munum þurrka út öll gögn sem eru til staðar í valinu drifinu okkar (/dev/sdb), þá þurfum við fyrst og fremst að taka öryggisafrit af mikilvægum skrám sem eru í þeirri skiptingu ÁÐUR halda áfram.

Þurrkaðu öll gögn af /dev/sdb. Við ætlum að nota dd skipunina hér, en þú gætir líka gert það með öðrum verkfærum eins og shred. Næst munum við búa til skipting á þessu tæki, /dev/sdb1, eftir útskýringunni í hluta 4 - Búa til skipting og skráarkerfi í Linux í LFCS seríunni.

# dd if=/dev/urandom of=/dev/sdb bs=4096 

Áður en lengra er haldið þurfum við að ganga úr skugga um að kjarninn okkar hafi verið settur saman með dulkóðunarstuðningi:

# grep -i config_dm_crypt /boot/config-$(uname -r)

Eins og lýst er á myndinni hér að ofan þarf að hlaða dm-crypt kjarnaeiningunni til að setja upp dulkóðun.

Cryptsetup er framendaviðmót til að búa til, stilla, fá aðgang að og stjórna dulkóðuðum skráarkerfum með dm-crypt.

# aptitude update && aptitude install cryptsetup 		[On Ubuntu]
# yum update && yum install cryptsetup 				[On CentOS] 
# zypper refresh && zypper install cryptsetup 			[On openSUSE]

Sjálfgefin rekstrarhamur fyrir cryptsetup er LUKS (Linux Unified Key Setup) svo við höldum okkur við það. Við byrjum á því að stilla LUKS skiptinguna og lykilorðið:

# cryptsetup -y luksFormat /dev/sdb1

Skipunin hér að ofan keyrir cryptsetup með sjálfgefnum breytum, sem hægt er að skrá með,

# cryptsetup --version

Ef þú vilt breyta dulkóðun, káss eða lykil færibreytum geturðu notað –dulkóðun, < b>–hash og –key-size fánar, í sömu röð, með gildunum tekin úr /proc/crypto.

Næst þurfum við að opna LUKS skiptinguna (við verðum beðinn um lykilorðið sem við settum inn áðan). Ef auðkenningin tekst verður dulkóðaða skiptingin okkar fáanleg inni í /dev/mapper með tilgreindu nafni:

# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition

Nú munum við forsníða skiptinguna sem ext4.

# mkfs.ext4 /dev/mapper/my_encrypted_partition

og búðu til tengipunkt til að tengja dulkóðuðu skiptinguna. Að lokum gætum við viljað staðfesta hvort fjallaðgerðin heppnaðist.

# mkdir /mnt/enc
# mount /dev/mapper/my_encrypted_partition /mnt/enc
# mount | grep partition

Þegar þú ert búinn að skrifa í eða lesa úr dulkóðuðu skráarkerfinu þínu skaltu einfaldlega aftengja það

# umount /mnt/enc

og lokaðu LUKS skiptingunni með því að nota,

# cryptesetup luksClose my_encrypted_partition

Að lokum munum við athuga hvort dulkóðaða skiptingin okkar sé örugg:

1. Opnaðu LUKS skiptinguna

# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition

2. Sláðu inn lykilorðið þitt

3. Settu skiptinguna upp

# mount /dev/mapper/my_encrypted_partition /mnt/enc

4. Búðu til dummy skrá inni í festingarpunktinum.

# echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt

5. Staðfestu að þú hafir aðgang að skránni sem þú bjóst til.

# cat /mnt/enc/testfile.txt

6. Aftengja skráarkerfið.

# umount /mnt/enc

7. Lokaðu LUKS skiptingunni.

# cryptsetup luksClose my_encrypted_partition

8. Reyndu að tengja skiptinguna sem venjulegt skráarkerfi. Það ætti að gefa til kynna villu.

# mount /dev/sdb1 /mnt/enc

Dulkóðaðu skiptirýmið fyrir frekara öryggi

aðgangsorðið sem þú slóst inn áðan til að nota dulkóðuðu skiptinguna er geymt í RAM minni á meðan það er opið. Ef einhver kemst í hendurnar á þessum lykli mun hann geta afkóðað gögnin. Þetta er sérstaklega auðvelt að gera þegar um fartölvu er að ræða, þar sem innihald vinnsluminni er haldið á skiptaskiptingunni meðan á dvala stendur.

Til að forðast að skilja eftir afrit af lyklinum þínum aðgengilegt þjófi skaltu dulkóða skiptahlutinn með því að fylgja þessum skrefum:

1 Búðu til skipting til að nota sem skipti með viðeigandi stærð (/dev/sdd1 í okkar tilviki) og dulkóðaðu hana eins og útskýrt var áðan. Nefndu það bara \skipta til hægðarauka.'

2.Stilltu það sem skipti og virkjaðu það.

# mkswap /dev/mapper/swap
# swapon /dev/mapper/swap

3. Næst skaltu breyta samsvarandi færslu í /etc/fstab.

/dev/mapper/swap none        	swap	sw          	0   	0

4. Að lokum, breyttu /etc/crypttab og endurræstu.

swap               /dev/sdd1         /dev/urandom swap

Þegar kerfið hefur lokið ræsingu geturðu staðfest stöðu skiptarýmisins:

# cryptsetup status swap

Samantekt

Í þessari grein höfum við kannað hvernig á að dulkóða skipting og skipta um pláss. Með þessari uppsetningu ættu gögnin þín að vera töluvert örugg. Ekki hika við að gera tilraunir og ekki hika við að hafa samband við okkur ef þú hefur spurningar eða athugasemdir. Notaðu bara formið hér að neðan - við munum vera meira en ánægð að heyra frá þér!