Salattujen tiedostojärjestelmien määrittäminen ja vaihtotilan vaihtaminen "Cryptsetup" -työkalulla Linuxissa - Osa 3
LFCE (lyhenne sanoista Linux Foundation Certified Engineer) on koulutettu ja hänellä on asiantuntemusta verkkopalvelujen asentamiseen, hallintaan ja vianmääritykseen Linux-järjestelmissä, ja hän vastaa järjestelmäarkkitehtuurin suunnittelu, toteutus ja jatkuva ylläpito.
Esittelyssä Linux Foundation Certification Program (LFCE).
Salauksen ideana on antaa vain luotetuille henkilöille pääsy arkaluontoisiin tietoihisi ja suojata niitä joutumasta vääriin käsiin, jos koneesi/kiintolevy katoaa tai varastetaan.
Yksinkertaisesti sanottuna avainta käytetään "lukitsemaan " pääsy tietoihisi, jotta ne tulevat saataville, kun järjestelmä on käynnissä ja valtuutettu käyttäjä avaa lukituksen. Tämä tarkoittaa, että jos henkilö yrittää tutkia levyn sisältöä (kytkemällä sen omaan järjestelmään tai käynnistämällä koneen LiveCD/DVD/USB-levyllä), hän löytää vain lukukelvotonta dataa todellisten tiedostojen sijaan.
Tässä artikkelissa keskustelemme salattujen tiedostojärjestelmien määrittämisestä dm-crypt:llä (lyhenne sanoista Device Mapper and cryptographic), joka on tavallinen ydintason salaustyökalu. Huomaa, että koska dm-crypt on lohkotason työkalu, sitä voidaan käyttää vain kokonaisten laitteiden, osioiden tai silmukkalaitteiden salaamiseen (ei toimi tavallisissa tiedostoissa tai hakemistoissa).
Aseman/osion/silmukkalaitteen valmistelu salausta varten
Koska pyyhimme kaikki valitsemamme aseman (/dev/sdb) tiedot, meidän on ensinnäkin varmuuskopioitava kaikki kyseisen osion sisältämät tärkeät tiedostot ENNEN > jatkaa eteenpäin.
Pyyhi kaikki tiedot kohteesta /dev/sdb. Käytämme tässä dd-komentoa, mutta voit tehdä sen myös muilla työkaluilla, kuten shred. Seuraavaksi luomme tälle laitteelle osion /dev/sdb1 noudattaen selitystä osassa 4 – Luo osiot ja tiedostojärjestelmät LFCS-sarjan Linuxissa.
dd if=/dev/urandom of=/dev/sdb bs=4096
Salaustuen testaus
Ennen kuin jatkamme, meidän on varmistettava, että ytimemme on käännetty salaustuella:
grep -i config_dm_crypt /boot/config-$(uname -r)
Kuten yllä olevassa kuvassa on esitetty, dm-crypt-ydinmoduuli on ladattava, jotta salaus voidaan määrittää.
Cryptsetupin asentaminen
Cryptsetup on käyttöliittymä, jonka avulla voit luoda, määrittää, käyttää ja hallita salattuja tiedostojärjestelmiä dm-crypt:n avulla.
aptitude update && aptitude install cryptsetup [On Ubuntu]
yum update && yum install cryptsetup [On CentOS]
zypper refresh && zypper install cryptsetup [On openSUSE]
Salatun osion määrittäminen
Oletuskäyttötila cryptsetupille on LUKS (Linux Unified Key Setup), joten pysymme siinä. Aloitamme asettamalla LUKS-osion ja salasanan:
cryptsetup -y luksFormat /dev/sdb1
Yllä oleva komento suorittaa cryptsetup oletusparametreilla, jotka voidaan luetella
cryptsetup --version
Jos haluat muuttaa parametreja salaus, hash tai avain, voit käyttää –cipher, < b>–hash ja –key-size-liput, joissa arvot on otettu tiedostosta /proc/crypto.
Seuraavaksi meidän on avattava LUKS-osio (meitä pyydetään antamaan aiemmin antamamme tunnuslause). Jos todennus onnistuu, salattu osiomme on saatavilla osoitteessa /dev/mapper määritetyllä nimellä:
cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
Muotoilemme nyt osion muotoon ext4.
mkfs.ext4 /dev/mapper/my_encrypted_partition
ja luo liitoskohta salatun osion liittämistä varten. Lopuksi saatamme haluta vahvistaa, onnistuiko asennustoiminto.
mkdir /mnt/enc
mount /dev/mapper/my_encrypted_partition /mnt/enc
mount | grep partition
Kun olet lopettanut salatun tiedostojärjestelmän kirjoittamisen tai lukemisen siitä, irrota se
umount /mnt/enc
ja sulje LUKS-osio käyttämällä
cryptesetup luksClose my_encrypted_partition
Testaa salausta
Lopuksi tarkistamme, onko salattu osiomme turvallinen:
1. Avaa LUKS-osio
cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
2. Kirjoita salasanasi
3. Asenna väliseinä
mount /dev/mapper/my_encrypted_partition /mnt/enc
4. Luo valetiedosto liitoskohdan sisään.
echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt
5. Varmista, että pääset käyttämään juuri luomaasi tiedostoa.
cat /mnt/enc/testfile.txt
6. Irrota tiedostojärjestelmä.
umount /mnt/enc
7. Sulje LUKS-osio.
cryptsetup luksClose my_encrypted_partition
8. Yritä asentaa osio tavallisena tiedostojärjestelmänä. Sen pitäisi osoittaa virhettä.
mount /dev/sdb1 /mnt/enc
Salaa vaihtotila lisäturvaa varten
Salasana, jonka annoit aiemmin käyttääksesi salattua osiota, tallennetaan RAM-muistiin sen ollessa auki. Jos joku saa käsiinsä tämän avaimen, hän pystyy purkamaan tietojen salauksen. Tämä on erityisen helppoa kannettavan tietokoneen tapauksessa, koska lepotilan aikana RAM-muistin sisältö säilyy swap-osiossa.
Jotta et jätä avaimesi kopiota varkaan ulottuville, salaa vaihto-osio seuraavasti:
1 Luo sopivan kokoinen osio käytettäväksi swap-osio (/dev/sdd1 meidän tapauksessamme) ja salaa se aiemmin selitetyllä tavalla. Nimeä se vain "vaihto" mukavuuden vuoksi.
2. Aseta se swapiksi ja aktivoi se.
mkswap /dev/mapper/swap
swapon /dev/mapper/swap
3. Muuta seuraavaksi vastaava merkintä tiedostossa /etc/fstab.
/dev/mapper/swap none swap sw 0 0
4. Muokkaa lopuksi tiedostoa /etc/crypttab ja käynnistä uudelleen.
swap /dev/sdd1 /dev/urandom swap
Kun järjestelmä on käynnistynyt, voit tarkistaa sivutustilan tilan:
cryptsetup status swap
Yhteenveto
Tässä artikkelissa olemme tutkineet, kuinka osio salataan ja vaihdetaan tilaa. Tällä asetuksella tietojesi pitäisi olla huomattavasti turvassa. Voit vapaasti kokeilla ja älä epäröi ottaa meihin yhteyttä, jos sinulla on kysyttävää tai kommentteja. Käytä vain alla olevaa lomaketta – kuulemme sinusta mielellämme!