Kako postaviti šifrirane datotečne sisteme i zamijeniti prostor pomoću alata 'Cryptsetup' u Linuxu - 3. dio

LFCE (skraćeno od Linux Foundation Certified Engineer) je obučen i ima stručnost za instaliranje, upravljanje i rješavanje problema mrežnih usluga u Linux sistemima, te je zadužen za projektovanje, implementacija i tekuće održavanje arhitekture sistema.

Predstavljamo Linux Foundation Certification Program (LFCE).

Ideja koja stoji iza enkripcije je omogućiti samo pouzdanim osobama pristup vašim osjetljivim podacima i zaštititi ih od pada u pogrešne ruke u slučaju gubitka ili krađe vašeg stroja/tvrdog diska.

Jednostavno rečeno, ključ se koristi za “zaključavanje” pristupa vašim informacijama, tako da oni postaju dostupni kada je sistem pokrenut i otključan od strane ovlaštenog korisnika. Ovo implicira da ako osoba pokuša da ispita sadržaj diska (priključivši ga na sopstveni sistem ili dizanjem mašine sa LiveCD/DVD/USB), naći će samo nečitljive podatke umesto stvarnih fajlova.

U ovom članku ćemo raspravljati o tome kako postaviti šifrirane sisteme datoteka sa dm-crypt (skraćeno za mapiranje uređaja i kriptografski), standardnim alatom za šifriranje na nivou kernela. Imajte na umu da s obzirom da je dm-crypt alat na nivou bloka, može se koristiti samo za šifriranje potpunih uređaja, particija ili uređaja petlje (neće raditi na regularnim datotekama ili direktorijumima).

Priprema diska/particije/uređaja petlje za šifriranje

Budući da ćemo obrisati sve podatke prisutne na našem odabranom disku (/dev/sdb), prije svega, moramo napraviti sigurnosnu kopiju svih važnih datoteka koje se nalaze na toj particiji PRE > nastavi dalje.

Obrišite sve podatke sa /dev/sdb. Ovdje ćemo koristiti naredbu dd, ali to možete učiniti i sa drugim alatima kao što je shred. Zatim ćemo kreirati particiju na ovom uređaju, /dev/sdb1, slijedeći objašnjenje u dijelu 4 – Kreiranje particija i sistema datoteka u Linuxu serije LFCS.

dd if=/dev/urandom of=/dev/sdb bs=4096 

Testiranje podrške za šifrovanje

Prije nego što nastavimo dalje, moramo se uvjeriti da je naše kernel kompajlirano s podrškom za šifriranje:

grep -i config_dm_crypt /boot/config-$(uname -r)

Kao što je prikazano na gornjoj slici, dm-crypt modul kernela mora biti učitan da bi se postavilo šifriranje.

Instaliranje Cryptsetup-a

Cryptsetup je frontend interfejs za kreiranje, konfigurisanje, pristup i upravljanje šifrovanim sistemima datoteka koristeći dm-crypt.

aptitude update && aptitude install cryptsetup 		[On Ubuntu]
yum update && yum install cryptsetup 				[On CentOS] 
zypper refresh && zypper install cryptsetup 			[On openSUSE]

Postavljanje šifrirane particije

Zadani način rada za cryptsetup je LUKS (Linux Unified Key Setup) tako da ćemo se držati toga. Počećemo postavljanjem LUKS particije i pristupne fraze:

cryptsetup -y luksFormat /dev/sdb1

Gornja naredba pokreće cryptsetup sa zadanim parametrima, koji se mogu navesti sa,

cryptsetup --version

Ako želite promijeniti parametre šifra, hash ili ključ, možete koristiti –šifru, < b>–heš, i –veličina ključa zastavice, respektivno, sa vrijednostima preuzetim iz /proc/crypto.

Zatim trebamo otvoriti LUKS particiju (od nas će se tražiti šifra koju smo ranije unijeli). Ako autentifikacija uspije, naša šifrirana particija će biti dostupna unutar /dev/mapper sa navedenim imenom:

cryptsetup luksOpen /dev/sdb1 my_encrypted_partition

Sada ćemo formatirati particiju kao ext4.

mkfs.ext4 /dev/mapper/my_encrypted_partition

i kreirajte tačku montiranja za montiranje šifrirane particije. Na kraju, možda želimo da potvrdimo da li je operacija montiranja uspela.

mkdir /mnt/enc
mount /dev/mapper/my_encrypted_partition /mnt/enc
mount | grep partition

Kada završite sa pisanjem ili čitanjem iz vašeg šifrovanog sistema datoteka, jednostavno ga isključite

umount /mnt/enc

i zatvorite LUKS particiju koristeći,

cryptesetup luksClose my_encrypted_partition

Testiranje enkripcije

Na kraju ćemo provjeriti je li naša šifrirana particija sigurna:

1. Otvorite LUKS particiju

cryptsetup luksOpen /dev/sdb1 my_encrypted_partition

2. Unesite svoju lozinku

3. Montirajte particiju

mount /dev/mapper/my_encrypted_partition /mnt/enc

4. Kreirajte lažni fajl unutar tačke montiranja.

echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt

5. Provjerite da li možete pristupiti datoteci koju ste upravo kreirali.

cat /mnt/enc/testfile.txt

6. Demontirajte sistem datoteka.

umount /mnt/enc

7. Zatvorite LUKS particiju.

cryptsetup luksClose my_encrypted_partition

8. Pokušajte da montirate particiju kao običan sistem datoteka. Trebalo bi da ukazuje na grešku.

mount /dev/sdb1 /mnt/enc

Šifrirajte zamjenski prostor za dalju sigurnost

lozinka koju ste ranije unijeli za korištenje šifrirane particije pohranjena je u RAM memoriji dok je otvorena. Ako se neko dočepa ovog ključa, moći će dešifrirati podatke. Ovo je posebno lako učiniti u slučaju laptopa, jer se tokom hibernacije sadržaj RAM-a čuva na swap particiji.

Kako biste izbjegli da kopiju vašeg ključa ostavite dostupnom lopovima, šifrirajte swap particiju slijedeći ove korake:

1 Napravite particiju koja će se koristiti kao swap odgovarajuće veličine (/dev/sdd1 u našem slučaju) i šifrirajte je kako je ranije objašnjeno. Nazovite ga samo "swap " radi praktičnosti.'

2. Postavite ga kao swap i aktivirajte ga.

mkswap /dev/mapper/swap
swapon /dev/mapper/swap

3. Zatim promijenite odgovarajući unos u /etc/fstab.

/dev/mapper/swap none        	swap	sw          	0   	0

4. Konačno, uredite /etc/crypttab i ponovo pokrenite sistem.

swap               /dev/sdd1         /dev/urandom swap

Kada sistem završi sa podizanjem, možete provjeriti status swap prostora:

cryptsetup status swap

Sažetak

U ovom članku smo istražili kako šifrirati particiju i swap prostor. Sa ovim podešavanjem, vaši podaci bi trebali biti znatno sigurni. Slobodno eksperimentirajte i ne ustručavajte se da nam se javite ako imate pitanja ili komentara. Samo koristite formular u nastavku - bit će nam više nego drago čuti od vas!