LUKS: Linux-kiintolevyn salaus NTFS-tuella Linuxissa
Lyhenne sanoista LUKS tarkoittaa lyhennettä Linux Unified Key Setup , joka on laajalti levyn salausmenetelmä, jota Linux-ydin käyttää ja joka toteutetaan cryptsetup -paketin kanssa.
cryptsetup -komentorivi salaa levyn lennossa käyttämällä symmetristä salausavainta, joka johdetaan toimitetusta salasanasta, joka toimitetaan joka kerta, kun levylle, osiolle ja myös koko levylle (jopa USB-tikulle) asennetaan tiedostojärjestelmän hierarkiaa ja käyttää aes-cbc-essiv: sha256 -salausta.
Koska LUKS pystyy salaamaan kokonaiset estolaitteet (kiintolevyt, USB-tikut, Flash-levyt, osiot, volyymiryhmät jne.) Linux-järjestelmissä, on suositeltavaa suurimmaksi osaksi irrotettavien tallennusvälineiden, kannettavien kiintolevyjen tai Linux-vaihtotiedostojen suojaamiseksi, eikä sitä suositella tiedostoille tason salaus.
NTFS (New Technology File System) on Microsoftin kehittämä oma tiedostojärjestelmä.
Ubuntu 14.04 tarjoaa täyden tuen LUKS-salaukselle ja myös NTFS: n Windows-natiiville tuelle ntfs-3g -paketin avulla.
Opetukseni osoittamiseksi tässä opetusohjelmassa olen lisännyt uuden kiintolevyn (4.) Ubuntu 14.04 -ruutuun (järjestelmän viite äskettäin lisätylle kiintolevylle on /dev/sdd ), joka se jaetaan kahteen osioon.
- Yksi osio (/dev/sdd1 - ensisijainen), jota käytetään LUKS-salaukseen.
- Toinen osio (/dev/sdd5 - laajennettu) muotoili NTFS: n tietojen käyttämiseksi sekä Linux- että Windows-järjestelmissä.
Myös osiot asennetaan automaattisesti Ubuntu 14.04: een uudelleenkäynnistyksen jälkeen.
Vaihe 1: Luo levyosiot
1. Kun kiintolevy on fyysisesti lisätty koneellesi, käytä ls-komentoa kaikkien /dev/laitteiden luetteloon (neljäs levy on /dev/sdd ).
# ls /dev/sd*
2. Tarkista seuraavaksi uusi kiintolevy fdisk -komennolla.
$ sudo fdisk –l /dev/sdd
Koska tiedostojärjestelmää ei ollut kirjoitettu, levyllä ei vielä ole kelvollista osiotaulukkoa.
3. Seuraavat vaiheet leikkaa kiintolevyn kahden osion tulokseen cfdisk -levyapuohjelman avulla.
$ sudo cfdisk /dev/sdd
4. Seuraava näyttö avaa interaktiivisen cfdisk -tilan. Valitse kiintolevyn vapaa tila ja siirry kohtaan Uusi vasen/oikea-nuolinäppäimillä.
5. Valitse osiotyypiksi Ensisijainen ja paina Enter .
6. Kirjoita haluamasi osion koko Mt : ksi.
7. Luo tämä osio kiintolevyn vapaan tilan alussa .
8. Siirry seuraavaksi osioon Kirjoita ja paina Enter .
9. Seuraava kehote esittelee luettelon kaikentyyppisistä tiedostojärjestelmistä ja niiden numerokoodista (heksanumero). Tämä osio on Linux LUKS -salattu, joten valitse 83 -koodi ja osoita uudelleen painamalla Enter .
10. Ensimmäinen osio luodaan ja cfdisk -apuohjelman kehote palaa alkuun. Luo toinen osio, jota käytetään nimellä NTFS valitsemalla jäljellä oleva vapaa tila , siirry kohtaan Uusi ja paina Enter -näppäintä .
11. Tällä kertaa osio on laajennettu looginen . Joten siirry kohtaan Looginen ja paina uudelleen Enter .
12. Anna osion koko uudelleen. Jos haluat käyttää jäljellä olevaa vapaata tilaa uudena osiona, jätä oletusarvo koolle ja paina vain Enter .
13. Valitse jälleen osiotyyppikoodi. Valitse NTFS -tiedostojärjestelmälle 86 -volyymikoodi.
14. Kun olet tarkistanut ja tarkistanut osiot, valitse Kirjoita , vastaa kyllä seuraavaan vuorovaikutteiseen kehotuskysymykseen ja sitten Lopeta poistuaksesi cfdisk -palvelusta apuohjelma.
Onnittelut ! Osiosi on luotu onnistuneesti ja ovat nyt valmiita alustettaviksi ja käytettäviksi.
15. Vahvistaaksesi uudelleen levyn osiotaulukon , anna fdisk -komento uudelleen, joka näyttää yksityiskohtaiset osiotaulukon tiedot.
$ sudo fdisk –l /dev/sdd
Vaihe 2: Luo osiotiedostojärjestelmä
16. Voit luoda NTFS -tiedostojärjestelmän toisella osiolla suorittamalla mkfs -komennon.
$ sudo mkfs.ntfs /dev/sdd5
17. Jotta osio olisi käytettävissä, se on asennettava tiedostojärjestelmään kiinnityskohtaan. Asenna toinen osio neljännelle kiintolevylle /opt -asennuskohtaan mount -komennolla.
$ sudo mount /dev/sdd5 /opt
18. Tarkista seuraavaksi, onko osio käytettävissä ja onko se /etc/mtab -tiedostossa cat-komennolla.
$ cat /etc/mtab
19. Irrota osio seuraavalla komennolla.
$ sudo umount /opt
20. Varmista, että cryptsetup -paketti on asennettu järjestelmään.
$ sudo apt-get install cryptsetup [On Debian Based Systems] # yum install cryptsetup [On RedHat Based Systems]
21. Nyt on aika alustaa neljännen kiintolevyn ensimmäinen osio ext4 -tiedostojärjestelmällä antamalla seuraava komento.
$ sudo luksformat -t ext4 /dev/sdd1
Vastaa isoilla kirjaimilla KYLLÄ kysymykseen Oletko varma? ja kirjoita kolme kertaa haluamasi salasana.
Huomaa: osion koosta ja kiintolevystä riippuen tiedostojärjestelmän luominen voi kestää jonkin aikaa.
22. Voit myös tarkistaa osiolaitteen tilan.
$ sudo cryptsetup luksDump /dev/sdd1
23. LUKS tukee korkeintaan 8 lisättyä salasanaa. Voit lisätä salasanan seuraavalla komennolla.
$ sudo cryptsetup luksAddKey /dev/sdd1
Poista salasana käyttämällä.
$ sudo cryptsetup luksRemoveKey /dev/sdd1
24. Jotta tämä salattu osio olisi aktiivinen, sillä on oltava nimikirjaus (alustettava) hakemistoon /dev/mapper hakemiston cryptsetup paketti.
Tämä asetus vaatii seuraavan komentorivin syntaksin:
$ sudo cryptsetup luksOpen /dev/LUKS_partiton device_name
Missä laitteen_nimi voi olla mikä tahansa haluamasi kuvaava nimi! (Olen nimennyt sen omakseni crypted_molume ). Varsinainen komento näyttää seuraavalta.
$ sudo cryptsetup luksOpen /dev/sdd1 crypted_volume
25. Tarkista sitten, onko laitteesi luettelossa /dev/mapper , hakemistossa, symbolisessa linkissä ja laitteen tilassa.
$ ls /dev/mapper $ ls –all /dev/mapper/encrypt_volume
$ sudo cryptsetup –v status encrypt_volume
26. Nyt, kun haluat tehdä osiolaitteen laajalti saatavana, asenna se järjestelmäänsi kiinnityskohdan alle käyttämällä komentoa mount.
$ sudo mount /dev/mapper/crypted_volume /mnt
Kuten voidaan nähdä, osio on asennettu ja käytettävissä tietojen kirjoittamista varten.
27. Jotta se ei olisi käytettävissä, irrota se järjestelmästä ja sulje laite.
$ sudo umount /mnt $ sudo cryptsetup luksClose crypted_volume
Vaihe 3: Asenna osio automaattisesti
Jos käytät kiinteää kiintolevyä ja tarvitset molemmat osiot järjestelmään automaattisesti asennettuna uudelleenkäynnistyksen jälkeen, sinun on noudatettava näitä kahta vaihetta.
28. Muokkaa ensin /etc/crypttab -tiedostoa ja lisää seuraavat tiedot.
$ sudo nano /etc/crypttab
- Kohteen nimi : Laitteesi kuvaava nimi (katso EXT4 LUKS -kohdan yllä oleva kohta 22 ).
- Lähdeasema : kiintolevyn osio muotoiltu LUKS -muotoon (katso yllä oleva kohta 21 EXT4 LUKS -palvelussa) ).
- Avaintiedosto : Valitse ei mitään
- Asetukset : määritä luksus
Viimeinen rivi näyttäisi olevan kuten alla on esitetty.
encrypt_volume /dev/sdd1 none luks
29. Muokkaa sitten /etc/fstab ja määritä laitteen nimi, kiinnityskohta, tiedostojärjestelmän tyyppi ja muut asetukset.
$ sudo nano /etc/fstab
Käytä viimeisellä rivillä seuraavaa syntaksia.
/dev/mapper/device_name (or UUID) /mount_point filesystem_type options dump pass
Ja lisää tietty sisältösi.
/dev/mapper/encrypt_volume /mnt ext4 defaults,errors=remount-ro 0 0
30. Saadaksesi laitteen UUID käytä seuraavaa komentoa.
$ sudo blkid
31. Jos haluat lisätä myös aiemmin luodun NTFS -osiotyypin, käytä samaa syntaksia kuin yllä uudella rivillä fstab (Tässä käytetään Linux-tiedostoliitteiden uudelleenohjausta).
$ sudo su - # echo "/dev/sdd5 /opt ntfs defaults 0 0" >> /etc/fstab
32. Vahvistaaksesi muutokset käynnistä kone uudelleen painamalla Enter käynnistysviestin Käynnistetään verkkolaitteen määritys jälkeen ja kirjoittamalla laitteen salasana/b>.
Kuten näette, molemmat levyosiot asennettiin automaattisesti Ubuntu-tiedostojärjestelmän hierarkiaan. Älä käytä fstab-tiedoston automaattisesti salattuja taltioita fyysisesti etäpalvelimilla, jos et voi käyttää uudelleenkäynnistysjärjestystä salatun taltiosalasanan toimittamiseksi.
Samoja asetuksia voidaan soveltaa kaiken tyyppisiin irrotettaviin tietovälineisiin, kuten USB-muistitikku, Flash-muisti, ulkoinen kiintolevy, jne., Tärkeiden, salaisten tai arkaluontoisten tietojen suojaamiseksi salakuuntelun tai varastamisen yhteydessä.