Шифрування дисків в linux
Безпека і конфіденційність дуже важливі, для тих, хто зберігає важливі дані на комп`ютері. Ваш домашній комп`ютер знаходиться в безпеці, але з ноутбуком або іншими переносними пристроями ситуація дуже сильно змінюється. Якщо ви носите свій ноутбук з собою майже всюди і до нього можуть мати доступ сторонні особи, виникає питання - як захистити свої дані від чужого втручання. Саме від фізичних атак, де кожен бажаючий може спробувати отримати дані з USB накопичувача або жорсткого диска ноутбука просто забравши пристрій або в разі ноутбука, витягнувши жорсткий диск і підключив його до іншої операційної системи.
Відео: LPIC 104.1 Створення та форматування розділів жорстких дисків в Linux
Багато підприємств і навіть прості користувачі використовують шифрування дисків в linux щоб захистити конфіденційну інформацію, таку як: відомості про клієнта, файли, контактну інформацію та багато іншого. В операційній системі Linux підтримується кілька криптографічних методів для захисту розділів, окремих каталогів або повністю всього жорсткого диска. Всі дані, в будь-якому з цих способів автоматично зашифровуються і розшифровуються на льоту.
Методи шифрування даних в Linux
Шифрування на рівні файлової системи:
- 1. eCryptfs - це криптографічний файлова система Linux. Вона зберігає криптографічні метадані для кожного файлу в окремому файлі, таким чином, що файли можна копіювати між комп`ютерами. Файл буде успішно розшифрований, якщо у вас є ключ. Це рішення широко використовується для реалізації зашифрованою домашньої директорії, наприклад, в Ubuntu. Також ChromeOS прозоро вбудовує ці алгоритми при використанні мережевих пристроїв для зберігання даних (NAS).
- 2. EncFS - забезпечує шифровану файлову систему в просторі користувача. Вона працює без будь-яких додаткових привілеїв і використовує бібліотеку fuse і модуль ядра для забезпечення інтерфейсу файлової системи. EncFS - це вільне програмне забезпечення і вона поширюється під ліцензією GPL.
Блочне шифрування на рівні пристрою:
- Loop-AES - швидка і прозора файлова система, а також пакет для шифрування розділу підкачки в Linux. Вихідний код програми давно не змінювався. Вона працює з ядрами 4.x, 3.x, 2.2, 2.0.
- TrueCrypt - це безкоштовне рішення з відкритим вихідним кодом для шифрування диска в операційних системах Windows 7 / Vista / XP / Mac OS X, а також в Linux.
- dm-crypt + LUKS - dm-crypt - це прозора підсистема для шифрування диска в ядрі 2.6 і пізніших версіях. Підтримується шифрування цілих дисків, знімних носіїв, розділів, томів RAID, програмного забезпечення, логічних томів і файлів.
У цій інструкції ми розглянемо шифрування жорсткого диска на Linux за допомогою алгоритму Linux Unified Key Setup-on-disk-format (LUKS).
Як працює LUKS?
LUKS (Linux Unified Key Setup - протокол шифрування блочного пристрою. Але ми забігли далеко наперед, щоб зрозуміти як це працює, потрібно скачала розібратися з іншими технологіями, що використовуються в цьому способі.
Щоб виконати шифрування диска linux використовується модуль ядра dm-crypt. Цей модуль дозволяє створювати в каталозі / dev / mapper віртуальне блоковий пристрій з прозорим для файлової системи і користувача шифруванням. Фактично всі дані лежать на зашифрованому фізичному розділі. Якщо користувач намагається записати дані на віртуальний пристрій, вони на льоту шифруються і записуються на диск, при читанні з віртуального пристрою, виконується зворотна операція - дані розшифровуються за фізичного диска і передаються у відкритому вигляді через віртуальний диск користувачу. Зазвичай для шифрування використовується метод AES, тому що під нього оптимізовані більшість сучасних процесорів. Важливо зауважити, що ви можете шифрувати не тільки розділи і диски, але і звичайні файли, створивши в них файлову систему і підключивши як loop пристрій.
Алгоритм LUKS визначають які дії і в якому порядку будуть виконуватися під час роботи з шифрованими носіями. Для роботи з LUKS і модулем dm-crypt використовується утиліта Cryptsetup. Її ми і розглянемо далі.
утиліта Cryptsetup
Утиліта Cryptsetup дозволять полегшити шифрування розділу Linux за допомогою модуля dm-crypt. Давайте спочатку її встановимо.
В Debian або Ubuntu, для цього використовуйте таку команду:
$ Yum install cryptsetup-luksСинтаксис запуску команди такий:
$ Cryptsetup опції операція параметри_операціі
Розглянемо основні операції, які можна зробити за допомогою цієї утиліти:
Відео: Створення зашифрованого диска LUKS + ext4
- luksFormat - створити зашифрований розділ luks linux
- luksOpen - підключити віртуальний пристрій (потрібен ключ)
- luksClose - закрити віртуальний пристрій luks linux
- luksAddKey - додати ключ шифрування
- luksRemoveKey - видалити ключ шифрування
- luksUUID - показати UUID розділу
- luksDump - створити резервну копію заголовків LUKS
Параметри операції залежать від самої операції, зазвичай це або фізичний пристрій, з яким потрібно провести дію, або віртуальне або і те й інше. Ще не всі зрозуміло, але на практиці, я думаю, ви з усім розберетеся.
Шифрування диска Linux
Теорія пройдена, всі інструменти готові. Тепер розглянемо шифрування розділу linux. Перейдемо до налаштування жорсткого диска. Зверніть увагу, що це видалить всі дані з диска або розділу, який ви збираєтеся зашифрувати. Так що якщо там є важливі дані, краще скопіюйте їх в більш надійне місце.
Відео: Шифрування дисків, дисків. Kali Linux
створення розділу
У цьому прикладі ми будемо шифрувати розділ / dev / sda6, але замість нього ви можете використовувати цілий жорсткий диск або просто один файл, заповнений нулями. Створюємо шифрований розділ:
WARNING!========
This will overwrite data on / dev / sda6 irrevocably.
Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
Відео: FreeBSD. Шифрування диска через GELI (AES256-XTS)
Ця команда виконає ініціалізацію розділу, встановить ключ ініціалізації і пароль. Зазначте пароль, щоб його потім не забути.
Виконайте таку команду щоб відкрити щойно створений розділ за допомогою модуля dm-crypt в / dev / mapper, для цього знадобиться ввести пароль, з яких Ви отримували доступ шифрування luks linux:
$ Ls -l / dev / mapper / backup2 $ cryptsetup -v status backup2type: LUKS1
cipher: aes-cbc-essiv: sha256
keysize: 256 bits
device: / dev / sda6
offset: 4096 sectors
size: 419426304 sectors
mode: read / write
Command successful.
А за допомогою наступної команди ви можете зробити резервну копію заголовків LUKS про всяк випадок:
Ну, можна сказати, розділ готовий. І що найцікавіше, тепер ви можете їм користуватися так само, як і будь-яким іншим звичайним розділом в каталозі / dev. Його можна форматувати за допомогою стандартних утиліт, записувати на нього дані, змінювати або перевіряти файлову систему і т д. Не можна тільки змінити розмір. Тобто все повністю прозоро, як і сказано на початку статті.
форматування розділу
Давайте для початку відформатуємо диск. Для надійності, щоб стерти всі дані, які були в цьому місці раніше, повторно наш шифрований розділ linux нулями. Це зменшить ймовірність злому шифрування, через збільшення кількості випадкової інформації. Для цього виконайте:
$ Pv -tpreb / dev / zero | dd of = / dev / mapper / backup2 bs = 128MКоли процес завершиться ми можемо відформатувати пристрій в будь-яку файлову систему. Наприклад, відформатуємо в ext4:
$ Mkdir / backup2$ Mount / dev / mapper / backup2 / backup2
$ Umount / backup2 $ cryptsetup luksOpen / dev / sda6 backup2Тепер можемо монтувати:
$ Sudo umount / backup2$ Fsck -vy / dev / mapper / backup2
$ Mount / dev / mapper / backup2 / backu2
Змінити парольний фразу luks
Шифрування дисків Linux виконується з певною пральний фразою, але ви можете її змінити. Навіть більше, ви можете створити до восьми різних пральних фраз. Для зміни виконавши наступні команди. Спочатку зробимо резервну копію заголовків LUKS:
$ Cryptsetup luksAddKey / dev / sda6$ Cryptsetup luksRemoveKey / dev / sda6
Зараз вам доведеться ввести ще старий пароль.
висновки
Ось і все тепер ви знаєте як зашифрувати розділ в Linux, а також розумієте як все це працює. Крім того, шифрування дисків в Linux за алгоритмом LUKS відкриває широкі можливості для повного шифрування встановлюваної системи.
плюси:
- LUKS шифрує всі блоковий пристрій, і тому дуже добре підходить для захисту вмісту переносних пристроїв, таких як мобільні телефони, знімні носії або жорсткі диски ноутбуків.
- Ви можете використовувати на серверах NAS для захисту резервних копій
- Процесори Intel і AMD з AES-NI (Advanced Encryption Standard) мають набір команд, які можуть прискорити процес шифрування на основі dm-crypt в ядрі Linux починаючи з 2.6.32.
- Працює в тому числі і з розділом підкачки, так що ваш ноутбук може використовувати функцію сплячого режиму, або глибокого сну повністю безпечно.
мінуси:
- LUKS підтримує шифрування тільки до восьми паролів. Це означає що тільки вісім користувачів з різними паролями можуть мати доступ до пристрою.
- LUKS не рекомендується для додатків, що вимагають шифрування на рівні файлів.
- Ноутбук для windows vista
- Як включити полнодісковое шифрування в windows 10?
- Ремонт ноутбуків, причини несправності ноутбука
- Утиліта від western digital збільшить ємність жорстких дисків на 10%
- Відновлення жорстких дисків після форматування
- Кращі зовнішні жорсткі диски 2017
- Огляд ext4 vs btrfs vs xfs
- Як користуватися gparted
- Як убезпечити дані на портативних носіях
- Безпечне вилучення флешки, навіщо це потрібно?
- Ntldr is missing що робити?
- Що таке raid масив і для чого він потрібен?
- Як подивитися usb пристрої linux
- Захист інформації на ноутбуці і пк
- Створення розділів і форматування жорсткого диска
- Використання криптоконтейнера для приховування інформації
- Копіювання жорсткого диска в linux
- При включенні комп`ютера з`являється помилка "hard disk 0 failure"
- Редагування образів в linux
- Групи користувачів linux
- Безпека даних. Частина 5 «шифрування файлів і дисків за допомогою cybersafe»