Šifriranje kućnog direktorija pruža pouzdanu zaštitu za podatke pohranjene na vašem tvrdom disku ili drugom mediju za pohranu. Šifrovanje je posebno važno na laptopovima, na računarima sa višestrukim pristupom, kao iu svim drugim uslovima. Kod instalacije Linux Minta nudi se šifriranje kućnog direktorija.

Glavna kvaka s potpunom enkripcijom kućnog direktorija je da trebate "premjestiti" direktorij sa šifriranim podacima izvan točke montiranja.

Performanse se blago smanjuju, barem dok se ne koristi SWAP. SWAP je posebna particija diska ili datoteka u koju operativni sistem premešta pojedinačne blokove RAM-a kada nema dovoljno RAM-a za pokretanje aplikacija. SWAP je također šifriran ako odaberete šifriranje kućnog direktorija u instalacionom programu, a režim mirovanja prestane da radi.

Nešifriranje SWAP-a kada je kućni direktorij šifriran je potencijalno opasno, jer podaci iz šifriranih datoteka mogu završiti tamo u čistom tekstu - gubi se cijeli smisao enkripcije. Počevši od verzije 14 Linux Minta, tokom instalacije možete odabrati opciju šifriranja cijelog diska. Ova opcija je najprikladnija za pohranjivanje osobnih podataka na prijenosnim uređajima (koji obično imaju samo jednog korisnika).

1.3 Šifriranje u gnomeu – Seahorse

Linux Mint ima ugrađeni uslužni program Passwords and Keys, ili Seahorse. Koristeći njegove mogućnosti, korisnik može raditi sa svim ključevima, lozinkama, kao i certifikatima koji su dostupni u ovom OS-u.

U suštini, Seahorse je aplikacija za GNOME (GNOME je besplatno desktop okruženje za operativne sisteme slične Unixu), koji je frontend za GnuPG (besplatni program za šifriranje informacija i kreiranje elektronskih digitalnih potpisa) i dizajniran je za upravljanje ključevima za šifriranje i lozinke. Zamijenio je GNOME Keyring, koji je u potpunosti zamijenjen u GNOME-u 2.22, iako je najavljen još u GNOME-u 2.18. Omogućava vam da izvršite sve operacije koje je prethodno bilo potrebno uraditi na komandnoj liniji i kombinovati ih pod jednim sučeljem:

upravljajte bezbednošću vašeg radnog okruženja i OpenPGP i SSH ključeva;

šifriranje, proširenje i skeniranje datoteka i teksta;

dodavati i verificirati digitalne potpise dokumentima;

sinhronizovati ključeve sa serverima ključeva;

kreirati i objaviti ključeve;

rezervisati ključne informacije;

dodati slikama u bilo kojem podržanom GDK-u kao OpenGPG ID fotografije;

1.4 TrueCrypt

TrueCrypt ima prilično zgodno grafičko sučelje, ali, nažalost, programeri imaju tvrdokodiranu integraciju s Nautilus upraviteljem datoteka u kodu.

Možete koristiti različite metode za šifriranje podataka.

Prvo morate kreirati takozvani kontejner koji će sadržavati fascikle datoteka namijenjene za šifriranje. Kontejner može biti datoteka sa proizvoljnim imenom ili čak cijela particija diska. Da biste pristupili kontejneru, morate navesti lozinku, a možete kreirati i ključnu datoteku (opcionalno) kojom će informacije biti šifrirane. Veličina kontejnera je ograničena.

Kreiranje šifriranih particija/fajlova

Kreiranje ključnog fajla:

truecrypt -create-keyfile /home/user/test/file , gdje je file naziv datoteke ključa.

Kreiranje kontejnera, u ovom slučaju odjeljka:

sudo truecrypt -k /home/user/test/file -c /dev/sda9

Umjesto /dev/sda9 particije, također možete odrediti datoteku, na primjer /home/user/test/cryptofile, ali u ovom slučaju ćete morati navesti njenu veličinu, to se radi s parametrom -size=5G prije parametar -c. Gornji primjer će kreirati kriptofil od 5 GB. Ponekad TrueCrypt prihvata veličinu samo u bajtovima; za 5 GB možete izračunati vrijednost unaprijed i odrediti -size=5368709120, ili je napisati na sljedeći način: -size=`echo 1024^3*5 | bc`.

Već kreirana ključna datoteka će se koristiti za šifriranje.

Prilikom kreiranja biće vam ponuđen izbor tipa kontejnera (normalan/skriven), sistema datoteka (FAT, ext2/3/4 ili bez FS), u ovom primeru je izabran režim bez korišćenja FS. Također će vam biti ponuđen izbor algoritma za šifriranje (na primjer, AES), kao i hash algoritma (na primjer, SHA-1) za šifriranje tokova podataka.

TrueCrypt se koristi za šifriranje podataka u hodu, odnosno možete montirati kontejner i raditi sa datotekama u njemu kao i obično (open/edit/close/create/delete), što je vrlo zgodno.

Šifrovana particija/datoteka je kreirana. Sada, ako treba da formatirate njegov interni sistem datoteka (u daljem tekstu FS), trebalo bi da uradite sledeće.

Odaberite željeni odjeljak koristeći Truecrypt:

truecrypt -k /home/user/test/file /dev/sda9

Prema zadanim postavkama, koristit će se uređaj koji je kreirao Truecrypt /dev/mapper/truecrypt0. Pristupanjem ovom uređaju možete promijeniti, na primjer, FS u šifriranom kontejneru. U ovom slučaju, to je potrebno učiniti.

sudo mkfs.ext4 -v /dev/mapper/truecrypt0

Ovako je ext4 FS kreiran unutar ovog šifrovanog kontejnera.

Dalje, pošto je ovaj kontejner već "prikačen" na uređaj /dev/mapper/truecrypt0, ostaje samo da ga jednostavno montirate u neki direktorijum. Ovaj direktorij za montiranje mora već postojati na sistemu.

sudo mount /dev/mapper/truecrypt0 /mnt/crypto, gdje je /mnt/crypto direktorij u koji se montira šifrirani kontejner.

truecrypt -d

Sada, bez poznavanja ključnog fajla i lozinke, niko neće moći da pročita skrivene informacije.

Danas je pohranjivanje važnih podataka u običnom tekstu postalo opasnije nego ikad. I to ne toliko zbog državnog nadzora (ako žele, naći će se na šta žaliti i tako dalje), koliko zbog onih koji žele ukrasti ove podatke. U principu, postoji mnogo metoda za zaštitu informacija, ali ovaj članak će opisati kriptografska sredstva.

Za razliku od nekih drugih operativnih sistema, Linux ima niz alata za kriptografsku zaštitu informacija – od šifriranja email korespondencije do šifriranja datoteka i blokiranja uređaja. Zainteresovani smo za enkripciju na nivou fajl sistema, fajlova i blok uređaja. Prvo, vrijedi razumjeti u čemu je razlika. Šifrovanje na nivou sistema datoteka zahteva prisustvo sloja između glavnog sistema datoteka (osim ako, naravno, sam sistem datoteka ne podržava šifrovanje) i korisnika.

Prednost ovog tipa enkripcija - ključevi su različiti za sve korisnike. Nedostatak je što ako omogućite šifriranje imena datoteke, dužina važećeg imena će se smanjiti; osim toga, korisnik može spremiti datoteku na drugu lokaciju na disku, što automatski negira prednost. I još nešto - čak i ako je šifriranje imena omogućeno, vremenske oznake će ostati iste. Šifrovanje blok uređaja se dešava na nižem nivou, ispod sistema datoteka. U ovom slučaju, sam sistem datoteka, naravno, ne zna da se nalazi na šifriranom volumenu.

Prednosti ovu metodu suprotno od nedostataka prethodnog. Nedostatak je što ćete morati da unosite lozinku svaki put kada je preuzmete/montirate. Drugi nedostatak je to što ako u toku rada napadač dobije pristup datotekama na kriptokon-
teiner, to je sve - izgubljeno je. Upravo to je zaštita od oflajn napada. Osim toga, u velikoj većini slučajeva spremanja kripto kontejnera u oblak, morat ćete ga u cijelosti ponovo učitati.

Ovaj članak će opisati postavljanje sljedećih metoda kriptografske zaštite:
dm-crypt/LUKS- kreiranje kripto kontejnera pomoću uređaja-mappera i CryptoAPI kernela;
eCryptfs- enkripcija na nivou sistema datoteka;
EncFS- slično gore opisanom, ali ne zahtijeva učitavanje modula kernela.

DM-KRIPT/LUKS
Postoje dvije vrste dm-crypt konfiguracije - obična i LUKS. Razlika je u tome što kada koristite LUKS, metapodaci su prisutni na početku kriptotoma, što vam omogućava da koristite više ključeva i mijenjate ih. Istovremeno, prisustvo takvog zaglavlja u nekim slučajevima je samo po sebi kompromitujuće - međutim, u većini sličnim slučajevima oblast sa visokim stepenom entropije će takođe biti kompromitujuća. Postavljanje običnog dm-crypta sa ključnom datotekom i pristupnom frazom Pogledajmo kako postaviti kombinaciju običnog dm-crypt volumena šifriranog ključnom datotekom, a koja se nalazi u LUKS kontejneru. Prvo morate odlučiti kako će točno biti postavljeni dijelovi. Postoje tri glavne opcije:
samo kripto volumen;
prvo kripto volumen, a zatim LVM na njemu;
prvo kripto volumen, zatim RAID, pa LVM.

I sve vrste kombinacija. Hajde da probamo drugu opciju. Prvi korak je kreiranje LUKS kontejnera za pohranjivanje datoteke ključa tako da možemo koristiti ovu datoteku zajedno sa ključnom frazom. U ovom slučaju, smanjuje se vjerojatnost kriptoanalize volumena šifriranog običnom dm-crypt:

# dd if=/dev/zero of=/root/key.luks bs=512 count=2057 # cryptsetup --align-payload=1 luksFormat /root/key.luks # cryptsetup luksOpen /root/key.luks cryptokey # dd if=/dev/urandom of=/dev/mapper/cryptokey

Prva komanda priprema datoteku kontejnera, druga kreira ovaj kontejner, treća ga povezuje, a četvrta generiše ključne informacije. Vrijedi napomenuti da je opcija –align-payload=1 potrebna kako bi se osiguralo da veličina LUKS metapodataka nije 4096 blokova od 512 bajta, već samo 2056. Dakle, 512 bajtova ostaje za stvarne ključne informacije.
Zatim prelazimo na kreiranje kriptotoma. U ovom trenutku, također možete opciono napuniti disk pseudo-slučajnim podacima kako biste kriptoanalizu, ako postoji, otežali. Tada možete kreirati kriptotom. Naredba za ovo izgleda ovako (naravno, u drugim slučajevima identifikatori se mogu razlikovati, pa morate biti oprezni):

# cryptsetup --cipher=serpent-xts-plain64 --offset=0--key-file=/dev/mapper/cryptokey --key-size=512 open --type=plain/dev/disk/by-id/ ata-VBOX_HARDDISK_VB05eadebe-f25e8d59 crypto0

Ako je potrebno, morate ponoviti sličnu naredbu na drugim uređajima koji zahtijevaju šifriranje. Zatim ćemo kreirati LVM i FS na kriptovolumenima:

Kreirajmo datoteku /etc/initramfs-tools/hooks/cryptokeys sa približno sljedećim sadržajem (servisni dio skripte je izostavljen):

I fajl /etc/initramfs-tools/scripts/local-top/cryptokeys (opet servisni dio
izostavljeno):

# <...> modprobe -b dm_crypt dok! (/sbin/cryptsetup luksOpen /etc/crypto/key. luks cryptokey /dev/disk/by - id /ata - VBOX_HARDDISK_VB05eadebe - f25e8d59 crypto0 && /sbin/cryptsetup plainOpen -- key - file = /dev/mapper/cryptokey /dev/disk/by - id /ata - VBOX_HARDDISK_VBc2414841 - cfeccde5 crypto1 && /sbin/cryptsetup luksZatvori kriptoključ ) ; uradi echo „Pokušaj ponovo . . . ” urađeno

Ove dvije datoteke moraju biti izvršne. Zatim kreiramo initrd:

# ažuriranje-initramfs -u -k sve -v

Sljedeći put kada ponovo pokrenete sistem, od vas će se tražiti lozinka za LUKS kontejner. Ako koristite običan dm-crypt, postoji još jedna opcija - uobičajeni donji sloj, koji vam omogućava da radite nešto poput TrueCrypt skrivenih volumena. Lakše je dati primjer:

# cryptsetup --cipher=serpent-xts-plain64 --offset=0--size=2097152 --shared open --type=plain/dev/disk/by-id/ata-VBOX_HARDDISK_VBcda8398f-f1f1deec crypto # cryptsetup --cipher=serpent-xts-plain64 --offset=2097152--size=2097152 --shared open --type=plain/dev/disk/by-id/ata-VBOX_HARDDISK_VBcda8398f-f1f1deec crypto_shared

Veličina i pomak su specificirani u blokovima od 512 bajta.

Napredne funkcije LUKS-a
Pogledajmo i naprednu upotrebu LUKS kontejnera. To uključuje promjenu ključeva. Ovo je neophodno kada se kompromituje ili kreira politika rotacije ključeva. Prvi korak da to učinite je kreiranje sigurnosne kopije zaglavlja kontejnera. Ako sve
ok, nakon promjene ključa može se uništiti. Radimo to, naravno, na nešifriranoj particiji:

Na kraju, dodajemo novi ključ sistemu:

Razmotrimo i proceduru vraćanja LUKS volumena. Najlakša opcija je, naravno, kada postoji kopija zaglavlja. U ovom slučaju, potrebna je samo jedna naredba za vraćanje:

Najduža neprekidna linija bit će glavni ključ. Potrebno ga je kopirati u datoteku na nešifriranom volumenu, a zatim pretvoriti u binarni oblik (prije nego što to učinite, uvjerite se da ovaj fajl ne postoje
znakovi na kraju reda):

ENCFS
Hajde da vidimo kako da konfigurišemo EncFS da se automatski montira nakon prijave. Prvo, instalirajmo potrebne pakete:

Prilikom podešavanja u stručnom modu, bit će vam postavljena brojna pitanja: tip šifre (dostupni su samo AES i Blowfish), veličina ključa, veličina bloka, kako šifrirati nazive datoteka - šifriranje bloka (koje potpuno skriva naziv datoteke, uključujući dužina), stream enkripcija (koja šifrira s najbližom mogućom dužinom, što je ponekad zgodno ako su imena predugačka i kada se koristi blok šifra postoji prilično velika vjerovatnoća da se prekorači maksimalna dozvoljena dužina) ili će u potpunosti izostati. .. Na kraju će vam biti zatražena lozinka, ona mora odgovarati onoj korišćenoj za prijavu, inače automatsko montiranje neće raditi.

Zatim morate urediti /etc/security/pam_encfs.conf fajl:

I /etc/fuse.conf fajl:

I dodajte korisnika u grupu osigurača:

$ sudo usermod - a - G osigurač $ USER

Nakon odjave i prijave, privatni imenik se može koristiti kao skladište za lične podatke. Vrijedi, međutim, napomenuti da je revizija otkrila neke (prilično ozbiljne) sigurnosne probleme, zbog čega ovaj sistem Ne preporučuje se da ga koristite za pohranjivanje zaista važnih podataka.

ECRYPTFS
Poznato je da se eCryptFS koristi u Ubuntu-u kao zadani alat za zaštitu kućnih direktorija. Pogledajmo kako to funkcionira - kreirajmo šifrirani direktorij ručno. Hajde da instaliramo pakete:

Kreiranje eCryptFS-a

I montirajte sistem datoteka (tokom prvog montiranja kreiraju se svi potrebni metapodaci):

$ sudo mount - t ecryptfs / home / rom / . tajna/kuća/rom/tajna

Od vas će se tražiti pristupna fraza (samo jednom, ponovljeni unos nije implementiran, što ne izgleda baš dobro dobra odluka, s obzirom na to da mora biti dugačak), onda će tražiti vrstu šifre (AES, Blowfish, 3DES, Twofish, CAST6 i CAST5), veličinu ključa, postavlja se pitanje da li se dozvoliti ili zabraniti nešifrirani fajlovi u direktoriju kod šifrovanih, da li da šifriramo nazive fajlova... i na kraju će pitati da li zaista želimo da montiramo i sačuvamo potpis u određenu datoteku. Pitanje nije tako glupo kao što se na prvi pogled čini: u ovom softveru, u nedostatku potpisa, ne postoji način da se razlikuje ispravna lozinka od netačne.

Šifriranje korisničkog kućnog direktorija

Tokom prvog pokretanja, možda ćete morati prekinuti nekoliko procesa. Nakon šifriranja, morate se odmah prijaviti kao korisnik, a od vas će biti zatraženo da zapišete ili odštampate šifru generiranu za šifriranje i zaštićenu, zauzvrat, korisničkom lozinkom. Ovo je neophodno za oporavak u hitnim slučajevima.

Upozorenje da zapamtite pristupnu frazu

Hajde da vidimo kako da ga vratimo. Pretpostavimo da pristupna fraza nije snimljena i da je oporavak sa Live CD-a. Pretpostavlja se da je sistem datoteka montiran. Idite u direktorij home/.ecryptfs/rom/.ecryptfs i upišite naredbu:

dm-verify
Modul dm-verify dizajniran je za provjeru integriteta blok uređaja. Verifikacija se vrši pomoću hash stabla, gdje su "lišće" hash zbroji blokova, a "granci" su hash sumi skupova "listova". Dakle, za provjeru blok uređaja (da li je particija ili disk), dovoljno je provjeriti samo jedan kontrolni zbroj.
Ovaj mehanizam (zajedno sa digitalni potpis) se koristi u nekim Android uređajima za zaštitu od modifikacije sistemskih particija, kao i u Google Chromium OS-u.

ZAKLJUČAK
Linux zapravo sadrži mnogo alata za kriptografsku zaštitu informacija. Od tri opisana alata, barem jedan je prisutan u svim modernim Linux distribucijama. Ali šta odabrati?
dm-crypt/LUKS Trebalo bi da se koristi u slučajevima kada je moguće brzo onemogućiti šifrovani volumen i kada rezervne kopije ili nisu potrebne ili su drugačije klasifikovane. U ovom slučaju ovu odluku više nego efikasno, posebno imajući u vidu da se enkripcija može obaviti u kaskadi proizvoljnog ugniježđenja i tipa (na primjer, AES-Twofish-AES), - pravi raj
za paranoične.
eCryptFS pogodan u slučajevima kada morate negdje spremiti šifrirane podatke - na primjer, u oblaku. Pruža prilično jaku enkripciju (iako zadana 128-bitna opcija ima opciju smanjenja kriptografske snage za dva bita) i transparentna je za krajnjeg korisnika.
EncFS ali to je starac prije desetak godina, zasnovan na još drevnijim djelima. Trenutno se ne preporučuje za korištenje zbog potencijalnih sigurnosnih rupa, ali se može koristiti kao višeplatformski alat za zaštitu neosjetljivih podataka u oblacima.

Ako trebate koristiti takva sredstva, uvijek treba imati na umu da zaštita mora biti sveobuhvatna.

Disk (a la TrueCrypt). Znam da je bilo posla da se doda podrška za šifrovanje u GRUB2, ali još nije spreman. Ima li drugih opcija?

(Imajte na umu da ovdje zapravo mislim na potpunu enkripciju diska, uključujući /boot)

Većina odgovora opisuje podešavanje u kojem /boot nije šifriran, a neki od njih pokušavaju objasniti zašto bi nešifrirani /boot trebao biti u redu.

Bez upuštanja u raspravu o tome zašto mi zapravo treba /boot da bude šifrovan, evo članka koji opisuje tačno šta mi treba, na osnovu modifikovane verzije GRUB2:

• http://xercestech.com/full-system-encryption-for-linux.geek

Problem je u tome što ove modifikacije izgleda nisu podržane u trenutnoj bazi koda GRUB2 (ili mi možda nešto nedostaje).

8 rješenja prikupljaju web obrazac za “Linux pokretačke programe koji podržavaju potpunu enkripciju diska?”

Mislim da trenutna verzija GRUB2 ne podržava samostalno učitavanje i dešifrovanje LUKS particija (sadrži neke šifre, ali mislim da se koriste samo za podršku lozinkom). Ne mogu provjeriti granu eksperimentalnog razvoja, ali postoje nagoveštaji na GRUB stranici da su planirani neki radovi na implementaciji onoga što želite.

Ažuriranje (2015.) : najnoviju verziju GRUB2 (2.00) već sadrži kod za pristup šifrovanim LUKS i GELI particijama. (Veza xercestch.com koju je OP pružio spominje prve popravke za ovo, ali su sada uključene u najnoviju verziju).

Međutim, ako pokušavate šifrirati cijeli disk iz sigurnosnih razloga, imajte na umu da nešifrirani pokretački program (kao što je TrueCrypt, BitLocker ili modificirani GRUB) ne pruža više zaštite od nešifrirane /boot particije (kao što je istakao SP u komentaru iznad). Svako ko ima fizički pristup računaru može ga jednostavno zamijeniti prilagođenom verzijom. Čak se spominje u članku na xercestech.com koji ste povezali:

Da budemo jasni, ovo ni na koji način ne čini vaš sistem manje ranjivim na napad van mreže; ako bi napadač zamijenio vaš bootloader svojim vlastitim ili bi preusmjerio proces pokretanja da učita svoj vlastiti kod, vaš sistem bi i dalje mogao biti kompromitovan.

Imajte na umu da svi softverski proizvodi za potpuna enkripcija diskovi imaju ovu slabost, bez obzira da li koriste nešifrirani pokretač ili nešifrovanu particiju za pokretanje/pretpokretanje. Čak i proizvodi koji podržavaju TPM (Trusted Platform Module) čipove, kao što je BitLocker, mogu se implementirati bez promjene hardvera.

Bolji pristup bi bio:

1. dešifriranje na nivou BIOS-a (in matična ploča bilo na adapteru diska ili eksternom hardveru [pametnoj kartici], sa ili bez TPM čipa), ili
2. nosite autorizacijski kod PBA (preboot authorization) (/boot particiju u ovom slučaju) na prenosivom uređaju (kao što je pametna kartica ili USB disk).

Da biste to učinili na drugi način, možete provjeriti Linux Full Disk Encryption (LFDE) projekat na: http://lfde.org/, koji pruža skriptu nakon instalacije za premještanje /boot particije na vanjski USB disk, šifriranje ključa pomoću GPG-a i pohranjivanje na USB. Na ovaj način, slab dio putanje za pokretanje (nešifrirana /boot particija) je uvijek s vama (vi ćete biti jedini s fizičkim pristupom kodu i ključu za dešifriranje). ( Bilješka: Ova stranica je izgubljena i autorov blog je također nestao, međutim stare fajlove možete pronaći na https://github.com/mv-code/lfde, uz napomenu da je posljednji razvoj urađen prije 6 godina). Kao lakšu alternativu, možete instalirati nešifrovanu particiju za pokretanje na USB disk kada instalirate OS.

Srdačan pozdrav, M.V.

Neka vaš prvi RAMdisk i /boot folder budu nešifrirani.

Ovo će dovesti do "minimalnog" kernela sa drajverima i podrškom za prelazak na "pravi" root sistem podataka, koji je šifriran.

Prije nego što izjavite "to je hack", zapamtite - većinu (ako ne i sve) Linux distribucije učitano danas. Ovo eksplicitno dozvoljava vašem sistemu da se pokrene i učita korijenski FS koristeći module koji se moraju učitati iz sistema datoteka. (Vrsta problema sa kokošom i jajima). Na primjer, ako je vaš korijenski sistem datoteka bio na hardverskom RAID volumenu i trebali ste učitati njegov drajver prije nego što ste mogli montirati root FS.

Pogledao sam link koji ste postavili - iako nema particije za pokretanje, još uvijek postoji nešifrirani bootloader na tvrdom disku kojem se može pristupiti i kompromitovati zlonamjerni napad. Tražio sam sličnu postavku u kojoj nema nešifriranih podataka na tvrdom disku, ali do sada sam samo došao do pokretanja bootloadera sa prenosivog diska.

Vjerujem da većina njih ono što vam treba su upute kako prvo instalirati OS sa šifriranim HD-om.

Ubuntu ima dobru stranicu sa uputstvima kako da kreirate šifrovane particije, LMVP, foldere, itd., samo vašu verziju vaše distribucije...

Ne, mislim da ne.

Da li zaista trebate šifrirati/preuzeti? Sumnjam da ne. Ostatak datotečnog sistema može biti šifriran normalnim Linux softverom, koji se nalazi u initramfs-u u /boot-u i traži od korisnika u skladu s tim.

Čini se da tražite nešto što se ne može učiniti i da to upoređujete Windows rješenje, koji skriva implementaciju od vas, ali zapravo radi istu stvar kao i Linux.

Najbliže rješenje koje se mogu sjetiti je korištenje HDD, koji implementira sigurnost lozinkom i enkripciju. Neki Thinkpad laptopovi koriste ova hardverska rješenja.

Odgovor je naveden u članku. "Ovo je sada moguće s proširenjima za sljedeću generaciju GRUB2 bootloader-a, koji je zakrpljen da podržava ne samo" i "želimo kasnije da instaliramo novu sliku sa podrškom za luks grub2" i "Sada ćemo kompajlirati GRUB2 izvor sa LUKS podrškom . „Čini se da postoji popravka ili proširenje koje trebate nabaviti i omogućiti s GRUB2 ili račvanim GRUB2 izvorom.

Grub2 verzija 2.02~beta3 može učiniti mnogo što Grub2 verzija 2.02~beta2 ne može, testirao sam:

1. Dizanje pomoću Super Grub 2 diska
2. Otkucajte "c" da biste otišli na komandnu liniju
3. Unesite naredbe za montiranje šifrirane particije koju želim
   • insmod lux
   • cryptomount(hd0, #) // gdje # predstavlja šifriranu particiju
4. Unesite šifru i unesite neke komande
   • multiboot (crypto0) /grub/i386-pc/core.img
   • cipela

Ovo će učitati još jedan Grub2 koji se nalazi unutar šifrovane particije, zlu ludom napadu nema mesta ovde... Pokrećem se sa CD-a (samo za čitanje) i onda montiram šifrovanu particiju (ne šifrovanu frazu, bilo šta!), a zatim dižem iznutra. šifrovanu particiju i dizanje Grub2 sa sopstvenim menijem, itd.

Upozorenje: Grub2 verzija 2.02~beta2 ne može učiniti isto jer ima neke greške (koje su izgleda ispravljene u Grub2 verziji 2.02~beta3) koje se odnose na komandu cryptomount...

beta2 greške o kojima govorim su:

1. On zapravo ne montira šifrovanu particiju, tako da vam ne dozvoljava pristup (crypto0)/*
2. Ako postoji više od jedne šifrirane particije, korištenje cryptomount -a zahtijeva samo jednu pristupnu frazu
3. Nakon pokretanja cryptomounta kada se ponovo pokrene, ne radi ništa

na beta 3:

1. On montira šifrovanu particiju i omogućava vam pristup datotekama putem (crypto0)/* ili (crypto1)/* itd. ako je više od jedne particije montirano u isto vrijeme
2. Traži svaki pristupni izraz (jedan po šifriranom dijelu)
3. Ovo vam omogućava da ga pokrenete onoliko puta koliko vam je potrebno, možete instalirati jedan, pa drugi, itd.

Napomena: Nisam shvatio kako da ih isključim osim ponovnog pokretanja ili pokretanja drugog ili istog grub2/drugog itd.

Nadam se da će ovo pomoći da se razjasnimo stvari, i nadamo se da će Grub2 2.02~beta3 verzija biti integrisana u LiveCD tako da možemo da je instaliramo bez potrebe da je sami kompajliramo.

PD: Sa Super Grub 2 diskom ne vidim način da instaliram Grub2 verziju 2.02~beta3 na MBR particija/boot itd.

Želite li sakriti svoje podatke od znatiželjnih očiju? Naučit ćemo vas tehnikama šifriranja tvrdog diska.

Iza Prošle godine Tema sigurnosti podataka na Internetu često se postavljala: prvo u vezi sa Snowdenovim otkrićima, zatim sa ranjivosti u OpenSSL-u (Heartbleed bug). Malo prije posljednjeg, otkrivena je manje primjetna greška u GnuTLS-u. Kao rezultat toga, počeli smo da obraćamo više pažnje na sigurnost izbrisanih podataka; ali šta je sa onima koji su pohranjeni na našem disku?

Blokiraj stog uređaja

Prije nego što pogledate enkripciju, važno je razumjeti kako funkcioniraju blok uređaji. Oni su sistemski interfejsi za uređaje za skladištenje kao što je /dev/sda! Unutar blok uređaja nalazi se hardverski drajver, kao što je SATA, i sam hardver. Operativni sistem tada stupa u interakciju sa blok uređajem kako bi na njemu kreirao sistem datoteka.

Blok uređaji se obično razmatraju u ovom svojstvu, iako imaju druge funkcije. Konkretno, takav uređaj može biti interfejs za niz drugih blok uređaja - oni mogu formirati stek. I već ste uradili ovo: imate sistem datoteka na /dev/sda1 (particija diska), a ovaj blok uređaj ukazuje na /dev/sda (cijeli disk).

Tehnologije kao što su RAID i LVM (Upravljanje logičkim volumenom) su takođe blokovi uređaja. Možda imate LVM na vrhu RAID niz, koji se zauzvrat nalazi i na blok uređajima pojedinačnih diskova ili njihovih particija.

Enkripcija cijelog uređaja s dm-crypt funkcionira ovako: blok uređaj se kreira na osnovu vašeg medija za pohranu, koji šifrira podatke kada se pohranjuju i dešifriraju kada se čitaju. Zatim montirate standardni sistem datoteka na vrh šifriranog uređaja i on funkcionira kao obična particija diska.

Mnoge distribucije se mogu instalirati na šifrirani disk, ali ćemo se direktno osvrnuti na kreiranje i rad dm-crypt uređaja, bez dodirivanja crne magije koju izvodi instalater. Dm-crypt koristi podsistem za mapiranje uređaja kernela za kontrolu blok uređaja sa kriptografskim funkcijama kernela u svrhu šifriranja.

Sve radi kernel, ali na nivou korisnika nam je potreban softver za kreiranje i upravljanje dm-crypt uređajima; Volim ovo standardni alat označava cryptsetup. Vjerovatno je već instaliran na vašoj distribuciji; a ako ne, onda će sigurno biti u glavnim repozitorijumima.

Enkripcija

Zadane vrijednosti su obično više nego dovoljne, i sve dostupne opcije može se pogledati pomoću cryptsetup -help Ove opcije su potrebne samo za LuksFormat. Prilikom kreiranja sigurnog uređaja, cryptsetup automatski koristi ispravna podešavanja da ga otvorim.

Najbolje je držati se popularnih šifri i heševa osim ako nemate bolji razlog da odaberete nešto drugo. Metode koje se rjeđe koriste mogu imati skrivene nedostatke jednostavno zato što su manje testirane, što se nedavno dogodilo sa Whirlpool hash implementacijom u biblioteci libcgrypt koju koristi cryptsetup. Prilikom ispravki, pogođeni su oni sistemi koji su već koristili neispravne hešove.

Drugi razlog da se držite konvencionalnih metoda je prenosivost. Ovo nije važno za internu disk jedinicu, ali ako želite da koristite šifrovani disk na drugom sistemu, isti heš i šifre moraju biti instalirani i tamo.

LUKS

LUKS— Linux Unified Key Setup je kreiran da obezbedi standardni, višeplatformski (uprkos nazivu) format za skladištenje šifrovanih podataka na diskovima. To se ne odnosi na metode šifriranja, već na način na koji se informacije o njima pohranjuju.

On je takođe više na pouzdan način pohranjivanje ključeva ili lozinki, budući da je dm-crypt metoda podložna hakiranju. Pošto je LUKS višeplatformski, šifrovanim uređajima se može pristupiti i iz Windows-a koristeći .

Sigurnost i privatnost su veoma važne za one koji čuvaju važne podatke na računaru. Tvoj kućni računar je bezbedno, ali sa laptopom ili drugim prenosivim uređajima situacija je sasvim drugačija. Ako svoj laptop nosite skoro svuda sa sobom i neovlašćene osobe mogu imati pristup njemu, postavlja se pitanje – kako zaštititi svoje podatke od tuđih smetnji. Radi se o fizičkim napadima, gdje svako može pokušati doći do podataka USB memorija ili tvrdi disk laptop jednostavnim uklanjanjem uređaja, ili u slučaju laptopa, uklanjanjem tvrdog diska i povezivanjem na drugi operativni sistem.

Mnoga preduzeća pa čak obični korisnici koristite šifriranje diska u Linuxu za zaštitu povjerljivih informacija kao što su: informacije o klijentu, datoteke, kontakt informacije i mnogo više. Linux operativni sistem podržava nekoliko kriptografskih metoda za zaštitu particija, pojedinačnih direktorija ili cijelog tvrdog diska. Svi podaci u bilo kojoj od ovih metoda se automatski šifriraju i dešifriraju u hodu.

Šifriranje na nivou sistema datoteka:

• 1. eCryptfs- ovo je kriptografski fajl Linux sistem. Pohranjuje kriptografske metapodatke za svaki fajl zaseban fajl, tako da se fajlovi mogu kopirati između računara. Datoteka će biti uspješno dešifrirana ako imate ključ. Ovo rješenje se široko koristi za implementaciju šifriranog kućnog direktorija, na primjer u Ubuntu. Također ChromeOS transparentno ugrađuje ove algoritme kada se koriste mrežni uređaji za skladištenje podataka (NAS).
• 2.EncFS- pruža šifrovani sistem datoteka u korisničkom prostoru. Radi bez ikakvih dodatnih privilegija i koristi fuse biblioteku i modul kernela da obezbijedi interfejs fajl sistema. EncFS je besplatan softver i licenciran je pod GPL.

Blok šifriranje na nivou uređaja:

• Petlja-AES- brz i transparentan sistem datoteka, kao i paket za šifrovanje swap particije u Linuxu. Izvorni kod programa se dugo nije mijenjao. Radi sa kernelima 4.x, 3.x, 2.2, 2.0.
• TrueCrypt- Ovo besplatno rješenje sa otvorenim izvorni kod za šifrovanje diska u operacionim salama Windows sistemi 7 / Vista / XP / Mac OS X, kao i Linux.
• dm-crypt+LUKS- dm-crypt je transparentni podsistem za šifrovanje diska u kernelu 2.6 i novijim. Podržava enkripciju cijelih diskova, prenosivih medija, particija, RAID volumena, softver, logičke volumene i datoteke.

U ovom vodiču ćemo pogledati šifriranje tvrdog diska na Linuxu pomoću algoritma Linux Unified Key Setup-on-disk-format (LUKS).

Kako LUKS funkcioniše?

LUKS (Linux Unified Key Setup je protokol za šifrovanje blok uređaja. Ali mi smo skočili daleko naprijed, da bismo razumjeli kako funkcionira, moramo razumjeti druge tehnologije koje se koriste u ovoj metodi.

Za izvođenje šifriranja linux disk Koristi se modul kernela dm-crypt. Ovaj modul vam omogućava da kreirate virtuelni blok uređaj u /dev/mapper direktorijumu sa šifrovanjem transparentnim za sistem datoteka i korisnika. U stvari, svi podaci se nalaze na šifrovanoj fizičkoj particiji. Ako korisnik pokuša da zapiše podatke na virtuelni uređaj, oni se šifriraju u hodu i zapisuju na disk; pri čitanju sa virtuelnog uređaja vrši se obrnuta operacija - podaci se dešifruju sa fizičkog diska i prenose u čistom tekstu putem virtuelni disk korisniku. Obično se za šifriranje koristi AES metoda, jer je većina njih optimizirana za to. savremeni procesori. Važno je napomenuti da možete šifrirati ne samo particije i diskove, već i obične datoteke tako što ćete kreirati sistem datoteka u njima i povezati ih kao uređaj petlje.

LUKS algoritam određuje koje će se radnje i kojim redoslijedom obavljati pri radu sa šifriranim medijima. Za rad sa LUKS-om i dm-crypt modulom koristite uslužni program Cryptsetup. Ovo ćemo dalje razmotriti.

Uslužni program Cryptsetup

Uslužni program Cryptsetup će olakšati šifriranje Linux particije pomoću dm-crypt modula. Hajde da ga prvo instaliramo.

Na Debianu ili Ubuntuu koristite ovu naredbu:

apt-get install cryptsetup

Na Red Hat distribucijama to će izgledati ovako:

yum install cryptsetup-luks

Sintaksa za pokretanje naredbe je:

$ cryptsetup options operacija options_operations

Pogledajmo osnovne operacije koje se mogu obaviti pomoću ovog uslužnog programa:

• luksFormat- kreirajte šifrovanu particiju luks linux
• luksOpen- povežite virtuelni uređaj (potreban je dongle)
• luksClose- zatvorite luks linux virtuelni uređaj
• luksAddKey- dodati ključ za šifriranje
• luksRemoveKey- izbrisati ključ za šifriranje
• luksUUID- prikaži UUID particije
• luksDump- stvoriti rezervna kopija LUKS zaglavlja

Parametri operacije ovise o samoj operaciji, obično se radi o fizičkom uređaju s kojim se radnja treba izvršiti, ili virtualnom, ili oboje. Nije još sve jasno, ali sa praksom, mislim da ćete shvatiti.

Linux šifriranje diska

Teorija je završena, svi alati su spremni. Sada pogledajmo šifriranje linux particije. Pređimo na postavljanje tvrdog diska. Imajte na umu da će ovo izbrisati sve podatke sa diska ili particije koju ćete šifrirati. Dakle, ako se tamo nalaze važni podaci, bolje ih je kopirati na sigurniju lokaciju.

Kreiranje sekcije

U ovom primjeru ćemo šifrirati /dev/sda6 particiju, ali umjesto toga možete koristiti cijeli tvrdi disk ili samo jednu datoteku ispunjenu nulama. Kreirajte šifrovanu particiju:

cryptsetup -y -v luksFormat /dev/sda6

UPOZORENJE!
========
Ovo će neopozivo prebrisati podatke na /dev/sda6.

Jesi li siguran? (Upišite velika slova da): DA
Unesite LUKS pristupnu frazu:
Potvrdite pristupnu frazu:
Naredba uspješna.

Ova naredba će inicijalizirati particiju i postaviti ključ za inicijalizaciju i lozinku. Odredite lozinku kako je kasnije ne biste zaboravili.

Pokrenite sljedeću naredbu da otvorite novostvorenu particiju pomoću dm-crypt modula u /dev/mapper, da biste to učinili morat ćete unijeti lozinku sa kojom je izvršena luks linux enkripcija:

Unesite lozinku za /dev/sda6

Sada možete vidjeti novi virtuelni uređaj /dev/mapper/backup2 kreiran pomoću naredbe luksFormat:

ls -l /dev/mapper/backup2

Da vidite status uređaja, pokrenite:

cryptsetup -v rezervna kopija statusa2

/dev/mapper/backup2 je aktivan.
tip: LUKS1
šifra: aes-cbc-essiv:sha256
veličina ključa: 256 bita
uređaj: /dev/sda6
ofset: 4096 sektora
veličina: 419426304 sektora
način rada: čitanje/pisanje
Naredba uspješna.

I sa sljedećom naredbom možete napraviti rezervnu kopiju LUKS zaglavlja za svaki slučaj:

cryptsetup luksDump /dev/sda6

Pa, možemo reći da je dio spreman. A najbolji dio je što je sada možete koristiti kao i bilo koju drugu regularnu particiju u /dev direktoriju. Možete ga formatirati koristeći standardne uslužne programe, pisati podatke u njega, promijeniti ili provjeriti sistem datoteka, itd. Ne možete samo promijeniti veličinu. Odnosno, sve je potpuno transparentno, kao što je navedeno na početku članka.

Formatiranje particije

Prvo formatirajmo disk. Da bismo bili sigurni, da bismo izbrisali sve podatke koji su se ranije nalazili na ovom mjestu, prebrisat ćemo našu šifriranu linux particiju nulama. Ovo će smanjiti vjerovatnoću razbijanja enkripcije povećanjem količine nasumičnih informacija. Da biste to učinili, pokrenite:

dd if=/dev/nula od=/dev/mapper/backup2

Uslužnom programu može biti potrebno nekoliko sati da se pokrene; da biste mogli pratiti proces, koristite pv:

pv -tpreb /dev/zero | dd of=/dev/mapper/backup2 bs=128M

Kada se proces završi, možemo formatirati uređaj u bilo koji sistem datoteka. Na primjer, formatirajmo ga u ext4:

mkfs.ext4 /dev/mapper/backup2

Kao što vidite, sve komande cryptsetup se primenjuju na fizičku particiju, dok se ostale komande za rad sa diskovima primenjuju na našu virtuelnu.

Montaža particije

Sada možete montirati samo kreirani sistem datoteka:

$ mount /dev/mapper/backup2 /backup2

Onemogućavanje particije

Sve radi, ali kako onemogućiti uređaj i zaštititi podatke. Da biste to učinili, pokrenite:

cryptsetup luksClose backup2

Ponovno montiranje

Da biste mogli ponovo da radite sa šifrovanom particijom koristeći LUKS Linux, morate je ponovo otvoriti:

cryptsetup luksOpen /dev/sda6 backup2

Sada možemo montirati:

mount /dev/mapper/backup2 /backup2

Provjerite sistem datoteka luks

Pošto nakon otvaranja particije sa luks linuxom, ovu particiju sistem tretira kao i sve ostale, možete jednostavno koristiti fsck uslužni program:

sudo umount /backup2

$ fsck -vy /dev/mapper/backup2

$ mount /dev/mapper/backup2 /backu2

Promijenite pristupnu frazu luks

Linux šifriranje diska se izvodi sa određenom šifrom, ali je možete promijeniti. Još bolje, možete kreirati do osam različitih pristupnih fraza. Za promjenu, pokrenite sljedeće naredbe. Prvo napravimo sigurnosnu kopiju LUKS zaglavlja:

cryptsetup luksDump /dev/sda6

Zatim kreirajte novi ključ:

cryptsetup luksAddKey /dev/sda6

Unesite bilo koju pristupnu frazu:

Unesite novu šifru za utor za ključ:
Potvrdite pristupnu frazu:

I obrišite stari:

cryptsetup luksRemoveKey /dev/sda6

Sada ćete morati unijeti staru lozinku.

zaključci

To je sve, sada znate kako šifrirati particiju u Linuxu, a također razumijete kako sve to funkcionira. Osim toga, šifriranje diska u Linuxu korištenjem LUKS algoritma otvara široke mogućnosti za potpunu enkripciju instaliranog sistema.

Pros:

• LUKS šifrira cijeli blok uređaj i stoga je vrlo pogodan za zaštitu sadržaja prijenosnih uređaja kao npr. Mobiteli, prenosivi medij ili tvrdi diskovi laptopovi.
• Možete koristiti NAS na serverima da zaštitite svoje sigurnosne kopije
• Intel i AMD procesori sa AES-NI (Advanced Encryption Standard) imaju skup naredbi koje mogu ubrzati proces enkripcije baziran na dm-cryptu u Linux kernelu od 2.6.32.
• Radi i sa swap particijom, tako da vaš laptop može potpuno bezbedno koristiti režim spavanja ili hibernaciju.