inuasparwil.ru

Шифрування дисків в linux

Безпека і конфіденційність дуже важливі, для тих, хто зберігає важливі дані на комп`ютері. Ваш домашній комп`ютер знаходиться в безпеці, але з ноутбуком або іншими переносними пристроями ситуація дуже сильно змінюється. Якщо ви носите свій ноутбук з собою майже всюди і до нього можуть мати доступ сторонні особи, виникає питання - як захистити свої дані від чужого втручання. Саме від фізичних атак, де кожен бажаючий може спробувати отримати дані з USB накопичувача або жорсткого диска ноутбука просто забравши пристрій або в разі ноутбука, витягнувши жорсткий диск і підключив його до іншої операційної системи.

Відео: LPIC 104.1 Створення та форматування розділів жорстких дисків в Linux

Багато підприємств і навіть прості користувачі використовують шифрування дисків в linux щоб захистити конфіденційну інформацію, таку як: відомості про клієнта, файли, контактну інформацію та багато іншого. В операційній системі Linux підтримується кілька криптографічних методів для захисту розділів, окремих каталогів або повністю всього жорсткого диска. Всі дані, в будь-якому з цих способів автоматично зашифровуються і розшифровуються на льоту.

Методи шифрування даних в Linux

Шифрування на рівні файлової системи:

  • 1. eCryptfs - це криптографічний файлова система Linux. Вона зберігає криптографічні метадані для кожного файлу в окремому файлі, таким чином, що файли можна копіювати між комп`ютерами. Файл буде успішно розшифрований, якщо у вас є ключ. Це рішення широко використовується для реалізації зашифрованою домашньої директорії, наприклад, в Ubuntu. Також ChromeOS прозоро вбудовує ці алгоритми при використанні мережевих пристроїв для зберігання даних (NAS).
  • 2. EncFS - забезпечує шифровану файлову систему в просторі користувача. Вона працює без будь-яких додаткових привілеїв і використовує бібліотеку fuse і модуль ядра для забезпечення інтерфейсу файлової системи. EncFS - це вільне програмне забезпечення і вона поширюється під ліцензією GPL.

Блочне шифрування на рівні пристрою:

  • Loop-AES - швидка і прозора файлова система, а також пакет для шифрування розділу підкачки в Linux. Вихідний код програми давно не змінювався. Вона працює з ядрами 4.x, 3.x, 2.2, 2.0.
  • TrueCrypt - це безкоштовне рішення з відкритим вихідним кодом для шифрування диска в операційних системах Windows 7 / Vista / XP / Mac OS X, а також в Linux.
  • dm-crypt + LUKS - dm-crypt - це прозора підсистема для шифрування диска в ядрі 2.6 і пізніших версіях. Підтримується шифрування цілих дисків, знімних носіїв, розділів, томів RAID, програмного забезпечення, логічних томів і файлів.

У цій інструкції ми розглянемо шифрування жорсткого диска на Linux за допомогою алгоритму Linux Unified Key Setup-on-disk-format (LUKS).

Як працює LUKS?

LUKS (Linux Unified Key Setup - протокол шифрування блочного пристрою. Але ми забігли далеко наперед, щоб зрозуміти як це працює, потрібно скачала розібратися з іншими технологіями, що використовуються в цьому способі.

Щоб виконати шифрування диска linux використовується модуль ядра dm-crypt. Цей модуль дозволяє створювати в каталозі / dev / mapper віртуальне блоковий пристрій з прозорим для файлової системи і користувача шифруванням. Фактично всі дані лежать на зашифрованому фізичному розділі. Якщо користувач намагається записати дані на віртуальний пристрій, вони на льоту шифруються і записуються на диск, при читанні з віртуального пристрою, виконується зворотна операція - дані розшифровуються за фізичного диска і передаються у відкритому вигляді через віртуальний диск користувачу. Зазвичай для шифрування використовується метод AES, тому що під нього оптимізовані більшість сучасних процесорів. Важливо зауважити, що ви можете шифрувати не тільки розділи і диски, але і звичайні файли, створивши в них файлову систему і підключивши як loop пристрій.

Алгоритм LUKS визначають які дії і в якому порядку будуть виконуватися під час роботи з шифрованими носіями. Для роботи з LUKS і модулем dm-crypt використовується утиліта Cryptsetup. Її ми і розглянемо далі.

утиліта Cryptsetup

Утиліта Cryptsetup дозволять полегшити шифрування розділу Linux за допомогою модуля dm-crypt. Давайте спочатку її встановимо.

В Debian або Ubuntu, для цього використовуйте таку команду:

$ Yum install cryptsetup-luks

Синтаксис запуску команди такий:




$ Cryptsetup опції операція параметри_операціі

Розглянемо основні операції, які можна зробити за допомогою цієї утиліти:

Відео: Створення зашифрованого диска LUKS + ext4

  • luksFormat - створити зашифрований розділ luks linux
  • luksOpen - підключити віртуальний пристрій (потрібен ключ)
  • luksClose - закрити віртуальний пристрій luks linux
  • luksAddKey - додати ключ шифрування
  • luksRemoveKey - видалити ключ шифрування
  • luksUUID - показати UUID розділу
  • luksDump - створити резервну копію заголовків LUKS

Параметри операції залежать від самої операції, зазвичай це або фізичний пристрій, з яким потрібно провести дію, або віртуальне або і те й інше. Ще не всі зрозуміло, але на практиці, я думаю, ви з усім розберетеся.

Шифрування диска Linux

Теорія пройдена, всі інструменти готові. Тепер розглянемо шифрування розділу linux. Перейдемо до налаштування жорсткого диска. Зверніть увагу, що це видалить всі дані з диска або розділу, який ви збираєтеся зашифрувати. Так що якщо там є важливі дані, краще скопіюйте їх в більш надійне місце.

Відео: Шифрування дисків, дисків. Kali Linux

створення розділу

У цьому прикладі ми будемо шифрувати розділ / dev / sda6, але замість нього ви можете використовувати цілий жорсткий диск або просто один файл, заповнений нулями. Створюємо шифрований розділ:

WARNING!
========
This will overwrite data on / dev / sda6 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.

Відео: FreeBSD. Шифрування диска через GELI (AES256-XTS)




Ця команда виконає ініціалізацію розділу, встановить ключ ініціалізації і пароль. Зазначте пароль, щоб його потім не забути.

Виконайте таку команду щоб відкрити щойно створений розділ за допомогою модуля dm-crypt в / dev / mapper, для цього знадобиться ввести пароль, з яких Ви отримували доступ шифрування luks linux:

$ Ls -l / dev / mapper / backup2 $ cryptsetup -v status backup2
type: LUKS1
cipher: aes-cbc-essiv: sha256
keysize: 256 bits
device: / dev / sda6
offset: 4096 sectors
size: 419426304 sectors
mode: read / write
Command successful.

А за допомогою наступної команди ви можете зробити резервну копію заголовків LUKS про всяк випадок:

$ Cryptsetup luksDump / dev / sda6

Ну, можна сказати, розділ готовий. І що найцікавіше, тепер ви можете їм користуватися так само, як і будь-яким іншим звичайним розділом в каталозі / dev. Його можна форматувати за допомогою стандартних утиліт, записувати на нього дані, змінювати або перевіряти файлову систему і т д. Не можна тільки змінити розмір. Тобто все повністю прозоро, як і сказано на початку статті.

форматування розділу

Давайте для початку відформатуємо диск. Для надійності, щоб стерти всі дані, які були в цьому місці раніше, повторно наш шифрований розділ linux нулями. Це зменшить ймовірність злому шифрування, через збільшення кількості випадкової інформації. Для цього виконайте:

$ Pv -tpreb / ​​dev / zero | dd of = / dev / mapper / backup2 bs = 128M

Коли процес завершиться ми можемо відформатувати пристрій в будь-яку файлову систему. Наприклад, відформатуємо в ext4:

$ Mkdir / backup2

$ Mount / dev / mapper / backup2 / backup2

$ Umount / backup2 $ cryptsetup luksOpen / dev / sda6 backup2

Тепер можемо монтувати:

$ Sudo umount / backup2

$ Fsck -vy / dev / mapper / backup2

$ Mount / dev / mapper / backup2 / backu2

Змінити парольний фразу luks

Шифрування дисків Linux виконується з певною пральний фразою, але ви можете її змінити. Навіть більше, ви можете створити до восьми різних пральних фраз. Для зміни виконавши наступні команди. Спочатку зробимо резервну копію заголовків LUKS:

$ Cryptsetup luksAddKey / dev / sda6

$ Cryptsetup luksRemoveKey / dev / sda6

Зараз вам доведеться ввести ще старий пароль.

висновки

Ось і все тепер ви знаєте як зашифрувати розділ в Linux, а також розумієте як все це працює. Крім того, шифрування дисків в Linux за алгоритмом LUKS відкриває широкі можливості для повного шифрування встановлюваної системи.

плюси:

  • LUKS шифрує всі блоковий пристрій, і тому дуже добре підходить для захисту вмісту переносних пристроїв, таких як мобільні телефони, знімні носії або жорсткі диски ноутбуків.
  • Ви можете використовувати на серверах NAS для захисту резервних копій
  • Процесори Intel і AMD з AES-NI (Advanced Encryption Standard) мають набір команд, які можуть прискорити процес шифрування на основі dm-crypt в ядрі Linux починаючи з 2.6.32.
  • Працює в тому числі і з розділом підкачки, так що ваш ноутбук може використовувати функцію сплячого режиму, або глибокого сну повністю безпечно.

мінуси:

  • LUKS підтримує шифрування тільки до восьми паролів. Це означає що тільки вісім користувачів з різними паролями можуть мати доступ до пристрою.
  • LUKS не рекомендується для додатків, що вимагають шифрування на рівні файлів.
Поділися в соціальних мережах:

Схожі
Безпечне вилучення флешки, навіщо це потрібно?Безпечне вилучення флешки, навіщо це потрібно?
Кращі зовнішні жорсткі диски 2017Кращі зовнішні жорсткі диски 2017
Ноутбук для windows vistaНоутбук для windows vista
Usb safeguard захистить вашу флешку від чужинцівUsb safeguard захистить вашу флешку від чужинців
Як користуватися gpartedЯк користуватися gparted
Огляд ext4 vs btrfs vs xfsОгляд ext4 vs btrfs vs xfs
Утиліта від western digital збільшить ємність жорстких дисків на 10%Утиліта від western digital збільшить ємність жорстких дисків на 10%
Ntldr is missing що робити?Ntldr is missing що робити?
Ремонт ноутбуків, причини несправності ноутбукаРемонт ноутбуків, причини несправності ноутбука
Створення розділів і форматування жорсткого дискаСтворення розділів і форматування жорсткого диска
» » Шифрування дисків в linux