Enkripcija matičnog imenika pruža pouzdanu zaštitu podataka pohranjenih na vašem tvrdom disku ili drugim medijima za pohranu. Enkripcija je posebno važna na prijenosnim računalima, na računalima s višestrukim pristupom, kao i u svim drugim uvjetima. Kod instalacije Linux Minta nudi se šifriranje matičnog direktorija.

Glavna začkoljica s potpunom enkripcijom matičnog direktorija je da morate "premjestiti" direktorij s šifriranim podacima izvan točke montiranja.

Performanse se malo smanjuju, barem dok se ne koristi SWAP. SWAP je posebna diskovna particija ili datoteka u koju operativni sustav premješta pojedinačne blokove RAM-a kada nema dovoljno RAM-a za pokretanje aplikacija. SWAP je također šifriran ako odaberete enkripciju matičnog direktorija u instalacijskom programu i način mirovanja prestaje raditi.

Nešifriranje SWAP-a kada je matični direktorij šifriran potencijalno je opasno, budući da podaci iz šifriranih datoteka mogu tamo završiti u čistom tekstu - gubi se cijela poanta enkripcije. Počevši od verzije 14 Linux Minta, tijekom instalacije možete odabrati opciju šifriranja cijelog diska. Ova je opcija najprikladnija za pohranu osobnih podataka na prijenosnim uređajima (koji obično imaju samo jednog korisnika).

1.3 Enkripcija u gnomeu – Seahorse

Linux Mint ima ugrađeni uslužni program Passwords and Keys ili Seahorse. Koristeći njegove mogućnosti, korisnik može raditi sa svim ključevima, lozinkama, kao i certifikatima koji su dostupni u ovom OS-u.

U biti, Seahorse je aplikacija za GNOME (GNOME je besplatno okruženje radne površine za operativne sustave slične Unixu), koji je sučelje za GnuPG (besplatan program za šifriranje informacija i stvaranje elektroničkih digitalnih potpisa) i dizajniran je za upravljanje ključevima za šifriranje i lozinke. Zamijenio je GNOME Keyring, koji je u potpunosti zamijenjen u GNOME 2.22, iako je najavljen još u GNOME 2.18. Omogućuje izvođenje svih operacija koje su prethodno bile potrebne u naredbenom retku i njihovo kombiniranje pod jednim sučeljem:

upravljati sigurnošću svog radnog okruženja i OpenPGP i SSH ključeva;

šifriranje, proširivanje i skeniranje datoteka i teksta;

dodavanje i provjera digitalnih potpisa dokumentima;

sinkronizirati ključeve s ključnim poslužiteljima;

kreirati i objaviti ključeve;

rezervirati ključne informacije;

dodajte slikama u bilo kojem podržanom GDK-u kao OpenGPG foto ID;

1.4 TrueCrypt

TrueCrypt ima prilično prikladno grafičko sučelje, ali, nažalost, programeri su hardkodirali integraciju s upraviteljem datoteka Nautilus u kod.

Za šifriranje podataka možete koristiti različite metode.

Najprije je potrebno izraditi tzv. spremnik koji će sadržavati mape datoteka namijenjene enkripciji. Spremnik može biti datoteka s proizvoljnim nazivom ili čak cijela particija diska. Za pristup spremniku morate navesti lozinku, a također možete kreirati ključnu datoteku (opcionalno) kojom će se informacije šifrirati. Veličina spremnika je ograničena.

Stvaranje šifriranih particija/datoteka

Stvaranje datoteke ključa:

truecrypt -create-keyfile /home/user/test/file, gdje je datoteka naziv datoteke ključa.

Stvaranje spremnika, u ovom slučaju odjeljka:

sudo truecrypt -k /home/user/test/file -c /dev/sda9

Umjesto /dev/sda9 particije, također možete navesti datoteku, na primjer /home/user/test/cryptofile, ali u ovom slučaju morat ćete navesti njenu veličinu, to se radi s parametrom -size=5G prije parametar -c. Gornji primjer će stvoriti kripto datoteku od 5 GB. Ponekad TrueCrypt prihvaća samo veličinu u bajtovima; za 5 GB možete izračunati vrijednost unaprijed i navesti -size=5368709120 ili je napisati na sljedeći način: -size=`echo 1024^3*5 | bc`.

Za šifriranje će se koristiti već stvorena datoteka ključa.

Prilikom izrade ponudit će vam se izbor tipa spremnika (normalan/skriven), datotečnog sustava (FAT, ext2/3/4 ili bez FS-a), u ovom primjeru odabran je način rada bez korištenja FS-a. Također će vam biti ponuđen izbor algoritma šifriranja (na primjer, AES), kao i hash algoritma (na primjer, SHA-1) za šifriranje tokova podataka.

TrueCrypt se koristi za šifriranje podataka u hodu, odnosno možete montirati kontejner i raditi s datotekama u njemu kao i obično (otvori/uredi/zatvori/kreiraj/briši), što je vrlo zgodno.

Stvorena je šifrirana particija/datoteka. Sada, ako trebate formatirati njegov interni datotečni sustav (u daljnjem tekstu FS), trebali biste učiniti sljedeće.

Odaberite traženi odjeljak koristeći Truecrypt:

truecrypt -k /home/user/test/file /dev/sda9

Prema zadanim postavkama koristit će se uređaj /dev/mapper/truecrypt0 koji je izradio Truecrypt. Pristupom ovom uređaju možete promijeniti, na primjer, FS u šifriranom spremniku. U ovom slučaju to treba učiniti.

sudo mkfs.ext4 -v /dev/mapper/truecrypt0

Ovako je stvoren ext4 FS unutar ovog šifriranog spremnika.

Zatim, budući da je ovaj spremnik već “prikačen” na uređaj /dev/mapper/truecrypt0, sve što preostaje je jednostavno montirati ga u neki direktorij. Ovaj direktorij za montiranje mora već postojati na sustavu.

sudo mount /dev/mapper/truecrypt0 /mnt/crypto, gdje je /mnt/crypto direktorij u koji je montiran šifrirani spremnik.

istinita šifra -d

Sada, bez poznavanja ključne datoteke i lozinke, nitko neće moći pročitati skrivene informacije.

Danas je pohranjivanje važnih podataka u običnom tekstu postalo opasnije nego ikad. I to ne toliko zbog državnog nadzora (ako žele, naći će se čemu prigovoriti i tako dalje), koliko zbog onih koji te podatke žele ukrasti. U principu, postoji mnogo metoda za zaštitu informacija, ali ovaj članak će opisati kriptografska sredstva.

Za razliku od nekih drugih operativnih sustava, Linux ima niz alata za kriptografsku zaštitu podataka - od šifriranja e-mail korespondencije do šifriranja datoteka i blok uređaja. Zanima nas enkripcija na razini datotečnih sustava, datoteka i blok uređaja. Prvo, vrijedi razumjeti koja je razlika. Enkripcija na razini datotečnog sustava zahtijeva postojanje sloja između glavnog datotečnog sustava (osim, naravno, ako sam datotečni sustav ne podržava šifriranje) i korisnika.

Prednost ove vrste enkripcija - ključevi su različiti za sve korisnike. Nedostatak je što ako omogućite enkripciju imena datoteke, duljina važećeg imena će se smanjiti, osim toga, korisnik može spremiti datoteku na drugo mjesto na disku, što automatski poništava korist. I još nešto - čak i ako je šifriranje imena omogućeno, vremenske oznake ostat će iste. Enkripcija blok uređaja događa se na nižoj razini, pod sustavom datoteka. U ovom slučaju sam datotečni sustav, naravno, ne zna da se nalazi na šifriranom volumenu.

Prednosti ovu metodu nasuprot nedostacima prethodnog. Nedostatak je što ćete morati unijeti lozinku svaki put kada ga preuzimate/montirate. Drugi nedostatak je taj da ako tijekom runtimea napadač dobije pristup datotekama na kriptokon-
teiner, to je sve - izgubljeno je. Upravo to je zaštita od offline napada. Osim toga, u velikoj većini slučajeva spremanja kripto spremnika u oblak, morat ćete ga u cijelosti ponovno učitati.

Ovaj će članak opisati postavljanje sljedećih metoda kriptografske zaštite:
dm-kripta/LUKS- stvaranje kripto spremnika pomoću device-mappera i CryptoAPI kernela;
eCryptfs- šifriranje na razini datotečnog sustava;
EncFS- slično gore opisanom, ali ne zahtijeva učitavanje modula jezgre.

DM-KRIPT/LUKS
Postoje dvije vrste dm-crypt konfiguracije - obična i LUKS. Razlika je u tome što kada koristite LUKS, metapodaci su prisutni na početku kriptotoma, što vam omogućuje korištenje više ključeva i njihovu promjenu. U isto vrijeme, prisutnost takvog zaglavlja u nekim je slučajevima sama po sebi kompromitirajuća - međutim, u većini sličnih slučajeva područje s visokim stupnjem entropije također će biti kompromitujuće. Postavljanje obične dm-crypt datoteke s ključnom datotekom i zaporkom Pogledajmo kako postaviti kombinaciju običnog dm-crypt volumena šifriranog s ključnom datotekom, koji se pak nalazi u LUKS spremniku. Prvo morate odlučiti kako će točno biti postavljeni dijelovi. Postoje tri glavne opcije:
samo kripto volumen;
prvo kripto volumen, zatim LVM na njemu;
prvo kripto volumen, zatim RAID, pa LVM.

I svakakvih kombinacija. Probajmo drugu opciju. Prvi korak je stvoriti LUKS spremnik za pohranjivanje datoteke ključa kako bismo ovu datoteku mogli koristiti zajedno s ključnom frazom. U ovom slučaju, smanjena je vjerojatnost kriptoanalize volumena šifriranog običnom dm-kriptom:

# dd if=/dev/zero of=/root/key.luks bs=512 count=2057 # cryptsetup --align-payload=1 luksFormat /root/key.luks # cryptsetup luksOpen /root/key.luks cryptokey # dd if=/dev/urandom of=/dev/mapper/cryptokey

Prva naredba priprema datoteku spremnika, druga stvara ovaj spremnik, treća ga povezuje, a četvrta generira ključne informacije. Vrijedno je napomenuti da je opcija –align-payload=1 potrebna kako bi se osiguralo da veličina LUKS metapodataka nije 4096 blokova od 512 bajta, već samo 2056. Dakle, 512 bajtova ostaje za stvarne ključne informacije.
Zatim prelazimo na stvaranje kriptotoma. U ovom trenutku također možete po želji napuniti disk pseudo-slučajnim podacima kako biste otežali kriptoanalizu, ako je ima. Tada možete stvoriti kriptotom. Naredba za to izgleda ovako (naravno, u drugim slučajevima identifikatori se mogu razlikovati, stoga morate biti oprezni):

# cryptsetup --cipher=serpent-xts-plain64 --offset=0--key-file=/dev/mapper/cryptokey --key-size=512 open --type=plain/dev/disk/by-id/ ata-VBOX_HARDDISK_VB05eadebe-f25e8d59 crypto0

Ako je potrebno, morate ponoviti sličnu naredbu na drugim uređajima koji zahtijevaju enkripciju. Zatim ćemo stvoriti LVM i FS na kriptovolumenima:

Kreirajmo datoteku /etc/initramfs-tools/hooks/cryptokeys s otprilike sljedećim sadržajem (uslužni dio skripte je izostavljen):

I datoteka /etc/initramfs-tools/scripts/local-top/cryptokeys (opet servisni dio
izostavljeno):

# <...> modprobe -b dm_kripta dok! (/sbin/cryptsetup luksOpen /etc/crypto/key. luks kriptoključ /dev/disk/by - id /ata - VBOX_HARDDISK_VB05eadebe - f25e8d59 crypto0 && /sbin/cryptsetup plainOpen -- ključ - datoteka = /dev/mapper/cryptokey /dev/disk/by - id /ata - VBOX_HARDDISK_VBc2414841 - cfeccde5 crypto1 && /sbin/cryptsetup luksZatvori kriptoključ ) ; čini echo “Pokušaj ponovno . . . ” učinjeno

Ove dvije datoteke moraju biti izvršne. Zatim kreiramo initrd:

# update-initramfs -u -k all -v

Sljedeći put kada se ponovno pokrenete, od vas će se tražiti lozinka za LUKS spremnik. Ako koristite običnu dm-kriptu, postoji još jedna opcija - zajednički donji sloj, koji vam omogućuje da radite nešto poput skrivenih TrueCrypt volumena. Lakše je dati primjer:

# cryptsetup --cipher=serpent-xts-plain64 --offset=0--size=2097152 --shared open --type=plain/dev/disk/by-id/ata-VBOX_HARDDISK_VBcda8398f-f1f1deec kripto # cryptsetup --cipher=serpent-xts-plain64 --offset=2097152--size=2097152 --shared open --type=plain/dev/disk/by-id/ata-VBOX_HARDDISK_VBcda8398f-f1f1deec crypto_shared

Veličina i pomak navedeni su u blokovima od 512 bajta.

Napredne značajke LUKS-a
Pogledajmo i napredne namjene LUKS kontejnera. To uključuje promjenu ključeva. Ovo je neophodno prilikom kompromitiranja ili stvaranja politike rotacije ključeva. Prvi korak za to je stvaranje sigurnosne kopije zaglavlja spremnika. Padam
ok, nakon promjene ključa može se uništiti. Mi to radimo, naravno, na nešifriranoj particiji:

Na kraju dodajemo novi ključ sustavu:

Razmotrimo i postupak vraćanja volumena LUKS-a. Najlakša opcija je, naravno, kada postoji kopija zaglavlja. U ovom slučaju potrebna je samo jedna naredba za vraćanje:

Najduža kontinuirana linija bit će glavni ključ. Treba ga kopirati u datoteku na nešifriranom volumenu i zatim pretvoriti u binarni oblik (prije nego što to učinite, provjerite je li ovu datoteku Nema
znakovi na kraju retka):

ENCFS
Pogledajmo kako konfigurirati EncFS da se automatski montira nakon prijave. Prvo instalirajmo potrebne pakete:

Prilikom postavljanja u stručnom načinu rada bit će vam postavljena brojna pitanja: vrsta šifre (dostupni su samo AES i Blowfish), veličina ključa, veličina bloka, kako šifrirati nazive datoteka - blok enkripcija (koja potpuno skriva naziv datoteke, uključujući duljina), enkripcija toka (koja šifrira s najbližom mogućom duljinom, što je ponekad zgodno ako su imena predugačka i kada se koristi blok šifra postoji prilično velika vjerojatnost prekoračenja najveće dopuštene duljine) ili će potpuno izostati. .. Na kraju ćete biti upitani za lozinku, ona mora odgovarati onoj korištenoj za prijavu, inače automatsko montiranje neće raditi.

Zatim trebate urediti datoteku /etc/security/pam_encfs.conf:

I datoteka /etc/fuse.conf:

I dodajte korisnika u grupu osigurača:

$ sudo usermod - a - G osigurač $ KORISNIK

Nakon odjave i prijave, privatni imenik može se koristiti kao pohrana osobnih podataka. Vrijedno je, međutim, napomenuti da je revizija otkrila neke (prilično ozbiljne) sigurnosne probleme, zbog kojih ovaj sustav Toplo se ne preporuča koristiti za pohranjivanje stvarno važnih podataka.

ŠIFRIRANO
Poznato je da se eCryptFS koristi u Ubuntuu kao zadani alat za zaštitu kućnih direktorija. Pogledajmo kako to radi - kreirajmo šifrirani imenik ručno. Instalirajmo pakete:

Izrada eCryptFS-a

I montirajte datotečni sustav (tijekom prvog montiranja stvaraju se svi potrebni metapodaci):

$ sudo mount - t ecryptfs / home / rom / . tajna/kuća/rom/tajna

Od vas će se tražiti lozinka (samo jednom, ponovljeni unos nije implementiran, što ne izgleda baš dobro dobra odluka, s obzirom da mora biti dugačak), tada će se tražiti vrsta šifre (AES, Blowfish, 3DES, Twofish, CAST6 i CAST5), veličina ključa, postavlja se pitanje treba li dopustiti ili zabraniti nekriptirane datoteke u direktoriju kod šifriranih, da li šifrirati nazive datoteka... i na kraju će pitati želimo li stvarno montirati i spremiti potpis u određenu datoteku. Pitanje nije tako glupo kao što se na prvi pogled može činiti: u ovom softveru, u nedostatku potpisa, ne postoji način da se ispravna lozinka razlikuje od netočne.

Šifriranje korisničkog matičnog imenika

Tijekom prvog pokretanja možda ćete morati prekinuti nekoliko procesa. Nakon enkripcije, morate se odmah prijaviti kao korisnik, a od vas će se tražiti da zapišete ili ispišete zaporku generiranu za enkripciju i zaštićenu, pak, korisničkom lozinkom. Ovo je neophodno za oporavak u slučaju nužde.

Upozorenje da zapamtite svoju šifru

Pogledajmo kako ga obnoviti. Pretpostavimo da šifra nije snimljena i da je oporavak s Live CD-a. Pretpostavlja se da je datotečni sustav montiran. Idite u direktorij home/.ecryptfs/rom/.ecryptfs i upišite naredbu:

dm-potvrdi
Modul dm-verify namijenjen je provjeri ispravnosti blok uređaja. Provjera se provodi korištenjem hash stabla, gdje su "lišće" hash zbrojevi blokova, a "grane" su hash zbrojevi skupova "lišća". Dakle, za provjeru blok uređaja (bilo da se radi o particiji ili disku) dovoljno je provjeriti samo jedan kontrolni zbroj.
Ovaj mehanizam (zajedno sa digitalni potpis) koristi se u nekim Android uređajima za zaštitu od izmjena particija sustava, kao i u Google Chromium OS-u.

ZAKLJUČAK
Linux zapravo sadrži mnogo alata za kriptografsku zaštitu podataka. Od tri opisana alata, barem jedan je prisutan u svim modernim distribucijama Linuxa. Ali što odabrati?
dm-kripta/LUKS Trebalo bi se koristiti u slučajevima kada je moguće brzo onemogućiti šifrirani volumen i kada sigurnosne kopije ili nisu potrebne ili su na neki drugi način klasificirane. U ovom slučaju ovu odluku više nego učinkovito, pogotovo imajući u vidu da se enkripcija može raditi u kaskadi proizvoljnog ugniježđivanja i tipa (npr. AES-Twofish-AES), - pravi raj
za paranoične.
eCryptFS prikladno u slučajevima kada morate negdje spremiti šifrirane podatke - na primjer, u oblak. Omogućuje prilično jaku enkripciju (iako zadana 128-bitna opcija ima mogućnost smanjenja kriptografske snage za dva bita) i transparentna je krajnjem korisniku.
EncFS ali to je stari čovjek prije desetak godina, na temelju još starijih djela. Trenutačno se ne preporučuje za upotrebu zbog mogućih sigurnosnih rupa, ali se može koristiti kao alat za više platformi za zaštitu neosjetljivih podataka u oblacima.

Ako trebate koristiti takva sredstva, uvijek se trebate sjetiti da zaštita mora biti sveobuhvatna.

Disk (a la TrueCrypt). Znam da je bilo posla na dodavanju podrške za šifriranje u GRUB2, ali još nije spremno. Ima li još opcija?

(Imajte na umu da ovdje zapravo mislim na punu enkripciju diska, uključujući /boot)

Većina odgovora opisuje postavku gdje /boot nije šifriran, a neki od njih pokušavaju objasniti zašto bi nekriptirani /boot trebao biti u redu.

Bez upuštanja u raspravu o tome zašto mi zapravo treba /boot da bude šifriran, evo članka koji opisuje točno što trebam, na temelju modificirane verzije GRUB2:

• http://xercestech.com/full-system-encryption-for-linux.geek

Problem je u tome što se čini da ove izmjene nisu podržane u trenutnoj GRUB2 bazi koda (ili možda nešto propuštam).

8 rješenja prikuplja obrazac web za “Linux boot loaders koji podržavaju punu enkripciju diska?”

Mislim da trenutna verzija GRUB2 ne podržava samostalno učitavanje i dešifriranje LUKS particija (sadrži neke šifre, ali mislim da se koriste samo za podršku lozinki). Ne mogu provjeriti granu eksperimentalnog razvoja, ali postoje neke naznake na GRUB stranici da se planiraju neki radovi na implementaciji onoga što želite učiniti.

Ažuriranje (2015.) : Najnovija verzija GRUB2 (2.00) već sadrži kod za pristup šifriranim LUKS i GELI particijama. (Veza xercestch.com koju je OP dao spominje prve popravke za to, ali oni su sada uključeni u najnoviju verziju).

Međutim, ako pokušavate šifrirati cijeli pogon iz sigurnosnih razloga, imajte na umu da nekriptirani bootloader (kao što je TrueCrypt, BitLocker ili modificirani GRUB) ne pruža više zaštite od nekriptirane /boot particije (kao što je istaknuo SP u komentaru iznad). Svatko tko ima fizički pristup računalu može ga jednostavno zamijeniti prilagođenom verzijom. Čak se spominje u članku xercestech.com koji ste povezali:

Da budemo jasni, ovo ni na koji način ne čini vaš sustav manje ranjivim na izvanmrežni napad; ako bi napadač zamijenio vaš pokretački program svojim vlastitim ili preusmjerio proces pokretanja za učitavanje vlastitog koda, vaš bi sustav i dalje mogao biti ugrožen.

Napominjemo da su svi softverski proizvodi za puna enkripcija diskovi imaju ovu slabost, bez obzira na to koriste li nešifrirani pokretački program ili nešifriranu boot/preboot particiju. Čak i proizvodi koji podržavaju TPM (Trusted Platform Module) čipove, kao što je BitLocker, mogu se implementirati bez promjene hardvera.

Bolji pristup bi bio:

1. dešifrirati na razini BIOS-a (in matična ploča ili na adapteru diska ili vanjskom hardveru [pametnoj kartici], sa ili bez TPM čipa), ili
2. nosite PBA (preboot authorization) autorizacijski kod (/boot particija u ovom slučaju) na prijenosnom uređaju (kao što je pametna kartica ili USB pogon).

Da biste to učinili na drugi način, možete provjeriti Linux Full Disk Encryption (LFDE) projekt na: http://lfde.org/, koji pruža postinstalacijsku skriptu za premještanje /boot particije na vanjski USB disk, šifriranje ključa s GPG-om i njegovo pohranjivanje na USB. Na ovaj način, slabi dio staze za pokretanje (nešifrirana /boot particija) uvijek je s vama (vi ćete jedini imati fizički pristup kodu i ključu za dešifriranje). ( Bilješka: Ova stranica je izgubljena i autorov blog je također nestao, ali možete pronaći stare datoteke na https://github.com/mv-code/lfde, uz napomenu da je zadnji razvoj napravljen prije 6 godina). Kao lakšu alternativu, možete instalirati nekriptiranu particiju za pokretanje na USB pogon prilikom instalacije OS-a.

Srdačan pozdrav, M.V.

Neka vaš prvi RAMdisk i /boot mapa budu nekriptirani.

Ovo će prikazati "minimalni" kernel s upravljačkim programima i podrškom za prebacivanje na "pravi" root sustav datoteka, koji je šifriran.

Prije nego što izjavite "to je hakiranje", zapamtite - većina (ako ne i svi) Linux distribucije danas učitano prema zadanim postavkama. Ovo izričito dopušta vašem sustavu da se pokrene i učita root FS koristeći module koji se trebaju učitati iz datotečnog sustava. (Neka vrsta problema s kokošju i jajetom). Na primjer, ako je vaš korijenski datotečni sustav bio na hardverskom RAID volumenu i morali ste učitati njegov upravljački program prije nego što ste mogli montirati korijenski FS.

Pogledao sam poveznicu koju ste objavili - iako nema boot particije, još uvijek postoji nešifrirani bootloader na tvrdom disku kojemu se može pristupiti i kompromitirati zlonamjerni napad. Tražio sam sličnu postavku gdje nema nešifriranih podataka na tvrdom disku, ali do sada sam smislio samo pokretanje pokretačkog programa s prijenosnog pogona.

Vjerujem da su za većinu njih prvo potrebne upute o tome kako instalirati OS s šifriranim HD-om.

Ubuntu ima dobru stranicu s uputama o tome kako stvoriti šifrirane particije, LMVP, mape itd., samo vašu verziju vaše distribucije...

Ne, mislim da ne.

Trebate li stvarno šifrirati/preuzeti? Sumnjam da nije. Ostatak datotečnog sustava može se šifrirati normalnim Linux softverom, koji se nalazi u initramfs-u u /boot iu skladu s tim šalje upite korisniku.

Čini se da tražite nešto što se ne može učiniti i s tim uspoređujete Windows rješenje, koji skriva implementaciju od vas, ali zapravo radi isto što i Linux.

Najbliže rješenje koje se mogu sjetiti je korištenje HDD, koji implementira sigurnost lozinke i enkripciju. Neka prijenosna računala Thinkpad koriste ova hardverska rješenja.

Odgovor je naveden u članku. "Ovo je sada moguće s proširenjima za GRUB2 boot loader sljedeće generacije, koji je zakrpan za podršku ne samo" i "želimo kasnije instalirati novu sliku s podrškom za luks grub2" i "Sada ćemo kompajlirati GRUB2 izvor s LUKS-om podrška. "Čini se da postoji hitni popravak ili proširenje koje trebate nabaviti i omogućiti s GRUB2 ili račvastim GRUB2 izvorom.

Grub2 verzija 2.02~beta3 može puno toga što Grub2 verzija 2.02~beta2 ne može, testirao sam ja:

1. Dizanje pomoću Super Grub 2 diska
2. Upišite "c" da biste otišli na naredbeni redak
3. Unesite naredbe za montiranje šifrirane particije koju želim
   • insmod lux
   • cryptomount(hd0, #) // gdje # predstavlja šifriranu particiju
4. Unesite zaporku i unesite neke naredbe
   • multiboot (crypto0) /grub/i386-pc/core.img
   • čizma

Ovo će učitati još jedan Grub2 koji je unutar šifrirane particije, zlom ludom napadu nema mjesta ovdje... Pokrenem se s CD-a (samo za čitanje) i zatim montiram šifriranu particiju (ne lozinku, bilo što!), zatim se dižem iznutra šifrirana particija i dizanje Grub2 s vlastitim izbornikom, itd.

Upozorenje: Grub2 verzija 2.02~beta2 ne može učiniti isto jer ima neke greške (koje su izgleda popravljene u Grub2 verziji 2.02~beta3) vezane uz naredbu cryptomount...

beta2 pogreške o kojima govorim su:

1. Zapravo ne montira šifriranu particiju, pa vam ne dopušta pristup (crypto0)/*
2. Ako postoji više od jedne šifrirane particije, korištenje cryptomount -a zahtijeva samo jednu lozinku
3. Nakon što se cryptomount jednom pokrene, ne radi ništa

na beta 3:

1. Montira šifriranu particiju i omogućuje vam pristup datotekama preko (crypto0)/* ili (crypto1)/* itd. ako je više od jedne montirano u isto vrijeme
2. Traži svaku šifru (jednu po šifriranom odjeljku)
3. To vam omogućuje da ga pokrenete onoliko puta koliko vam je potrebno, možete instalirati jedan, pa drugi, itd.

Dodatna napomena: Nisam shvatio kako ih demontirati osim ponovnog pokretanja ili pokretanja drugog ili istog grub2/other itd. pokretačkog programa.

Nadamo se da će ovo pomoći razjasniti stvari i nadamo se da će verzija Grub2 2.02~beta3 biti integrirana u LiveCD kako bismo je mogli instalirati bez potrebe da je sami kompajliramo.

PD: Sa Super Grub 2 diskom ne vidim način da instaliram Grub2 verziju 2.02~beta3 na MBR particija/podizati itd.

Želite li sakriti svoje podatke od znatiželjnih očiju? Naučit ćemo vas tehnikama šifriranja tvrdog diska.

Iza Prošle godine Tema sigurnosti internetskih podataka često se aktualizirala: prvo u vezi sa Snowdenovim otkrićima, zatim s ranjivošću u OpenSSL-u (Heartbleed bug). Neposredno prije posljednjeg, otkriven je manje uočljiv bug u GnuTLS-u. Kao rezultat toga, počeli smo obraćati više pažnje na sigurnost izbrisanih podataka; ali što je s onima koji su pohranjeni na našem disku?

Blokiraj snop uređaja

Prije nego što pogledate enkripciju, važno je razumjeti kako funkcioniraju blok uređaji. Oni su sučelja sustava za uređaje za pohranu kao što je /dev/sda! Unutar blok uređaja nalazi se hardverski upravljački program, kao što je SATA, i sam hardver. Operativni sustav zatim komunicira s blok uređajem kako bi na njemu stvorio sustav datoteka.

Blok uređaji se obično razmatraju u ovom svojstvu, iako imaju druge funkcije. Konkretno, takav uređaj može biti sučelje za niz drugih blok uređaja - oni mogu formirati hrpu. A ovo ste već učinili: imate datotečni sustav na /dev/sda1 (particija diska), a ovaj blok uređaj pokazuje na /dev/sda (cijeli disk).

Tehnologije kao što su RAID i LVM (Logical Volume Management) također su skupovi blok uređaja. Možda imate LVM na vrhu RAID polje, koji se, pak, također nalazi na blok uređajima pojedinih diskova ili njihovih particija.

Enkripcija cijelog uređaja s dm-cryptom funkcionira ovako: na temelju vašeg medija za pohranu stvara se blok uređaj koji šifrira podatke kada se pohranjuju i dekriptiraju kada se čitaju. Zatim montirate standardni datotečni sustav na vrh šifriranog uređaja i on funkcionira kao obična particija diska.

Mnoge distribucije mogu se instalirati na kriptirani disk, no mi ćemo se izravno osvrnuti na izradu i rad dm-crypt uređaja, ne dotičući se crne magije koju instalater izvodi. Dm-crypt koristi podsustav za mapiranje uređaja jezgre za kontrolu blok uređaja s kriptografskim funkcijama jezgre u svrhu šifriranja.

Sve radi kernel, ali na korisničkoj razini trebamo softver za stvaranje i upravljanje dm-crypt uređajima; kao ovo standardni alat označava cryptsetup. Vjerojatno je već instaliran na vašoj distribuciji; a ako ne, onda će sigurno biti u glavnim spremištima.

Enkripcija

Zadane vrijednosti su obično više nego dovoljne, i sve dostupne opcije može se vidjeti s cryptsetup -help Ove opcije su potrebne samo s LuksFormat. Prilikom stvaranja sigurnog uređaja, cryptsetup automatski koristi ispravne postavke da ga otvorim.

Najbolje je držati se popularnih šifri i hashova osim ako nemate bolji razlog da odaberete nešto drugo. Metode koje se rjeđe koriste mogu imati skrivene nedostatke jednostavno zato što su manje testirane, što se nedavno dogodilo s implementacijom raspršivanja Whirlpool u biblioteci libcgrypt koju koristi cryptsetup. Prilikom ispravljanja, pogođeni su oni sustavi koji su već koristili neispravne hashove.

Još jedan razlog za pridržavanje konvencionalnih metoda je prenosivost. Ovo nije važno za interni pogon, ali ako želite koristiti šifrirani pogon na drugom sustavu, isti hashovi i šifre moraju biti instalirani i tamo.

LUKS

LUKS— Linux Unified Key Setup stvoren je kako bi pružio standardni format za više platformi (unatoč nazivu) za pohranjivanje šifriranih podataka na diskove. Ne odnosi se na metode šifriranja, već na način na koji se informacije o njima pohranjuju.

On je također više na pouzdan način pohranjivanje ključeva ili lozinki, jer je metoda dm-crypt podložna hakiranju. Budući da je LUKS višeplatformski, šifriranim uređajima se također može pristupiti iz Windowsa koristeći .

Sigurnost i privatnost vrlo su važni za one koji pohranjuju važne podatke na računalo. Vaš kućno računalo je siguran, ali s prijenosnim računalom ili drugim prijenosnim uređajima situacija je sasvim drugačija. Ako prijenosno računalo nosite sa sobom gotovo posvuda i neovlaštene osobe mogu imati pristup njemu, postavlja se pitanje - kako zaštititi svoje podatke od tuđeg uplitanja. To je od fizičkih napada, od kojih svatko može pokušati dobiti podatke USB memorija ili tvrdi disk prijenosno računalo jednostavnim uklanjanjem uređaja ili, u slučaju prijenosnog računala, uklanjanjem tvrdog diska i spajanjem na drugi operativni sustav.

Mnoga poduzeća i čak obični korisnici koristiti šifriranje diska u Linuxu za zaštitu povjerljivih informacija kao što su: informacije o klijentima, datoteke, kontakt informacije i mnogo više. Operativni sustav Linux podržava nekoliko kriptografskih metoda za zaštitu particija, pojedinačnih direktorija ili cijelog tvrdog diska. Svi podaci u bilo kojoj od ovih metoda automatski se šifriraju i dešifriraju u hodu.

Enkripcija na razini datotečnog sustava:

• 1. eCryptfs- ovo je kriptografska datoteka Linux sustav. Pohranjuje kriptografske metapodatke za svaku datoteku u zasebna datoteka, tako da se datoteke mogu kopirati između računala. Datoteka će biti uspješno dešifrirana ako imate ključ. Ovo se rješenje široko koristi za implementaciju šifriranog matičnog imenika, na primjer u Ubuntuu. ChromeOS također transparentno ugrađuje ove algoritme kada se koriste mrežni uređaji za pohranu podataka (NAS).
• 2.EncFS- pruža šifrirani datotečni sustav u korisničkom prostoru. Radi bez ikakvih dodatnih privilegija i koristi biblioteku osigurača i kernel modul za pružanje sučelja datotečnog sustava. EncFS je besplatan softver i licenciran je pod GPL-om.

Enkripcija bloka na razini uređaja:

• Petlja-AES- brz i transparentan datotečni sustav, kao i paket za šifriranje swap particije u Linuxu. Izvorni kod programa dugo nije mijenjan. Radi s kernelima 4.x, 3.x, 2.2, 2.0.
• TrueCrypt- Ovo besplatno rješenje s otvorenim izvorni kod za šifriranje diska u operacijskim dvoranama Windows sustavi 7 / Vista / XP / Mac OS X, kao i Linux.
• dm-crypt+LUKS- dm-crypt je transparentni podsustav za šifriranje diska u kernelu 2.6 i novijim. Podržava enkripciju cijelih diskova, prijenosnih medija, particija, RAID volumena, softver, logičke jedinice i datoteke.

U ovom vodiču ćemo pogledati šifriranje tvrdog diska na Linuxu pomoću algoritma Linux Unified Key Setup-on-disk-format (LUKS).

Kako radi LUKS?

LUKS (Linux Unified Key Setup je protokol za šifriranje blok uređaja. Ali skočili smo daleko naprijed, da bismo razumjeli kako funkcionira, moramo razumjeti druge tehnologije koje se koriste u ovoj metodi.

Za izvođenje enkripcije linux disk Koristi se dm-crypt kernel modul. Ovaj modul vam omogućuje stvaranje virtualnog blok uređaja u direktoriju /dev/mapper s enkripcijom transparentnom za datotečni sustav i korisnika. Zapravo, svi podaci nalaze se na šifriranoj fizičkoj particiji. Ako korisnik pokuša upisati podatke na virtualni uređaj, oni se u hodu šifriraju i zapisuju na disk; kod čitanja s virtualnog uređaja izvodi se obrnuta operacija - podaci se dekriptiraju s fizičkog diska i prenose u čistom tekstu putem virtualni disk korisniku. Obično se za enkripciju koristi AES metoda, jer je većina njih optimizirana za to. moderni procesori. Važno je napomenuti da možete šifrirati ne samo particije i diskove, već i obične datoteke stvaranjem datotečnog sustava u njima i njihovim povezivanjem kao uređajem petlje.

LUKS algoritam određuje koje će se radnje i kojim redoslijedom izvršiti pri radu s kriptiranim medijima. Za rad s LUKS-om i dm-crypt modulom koristite uslužni program Cryptsetup. Ovo ćemo dalje razmotriti.

Cryptsetup uslužni program

Pomoćni program Cryptsetup olakšat će šifriranje Linux particije pomoću dm-crypt modula. Prvo ga instalirajmo.

Na Debianu ili Ubuntuu koristite ovu naredbu:

apt-get instaliraj kriptopostavljanje

Na distribucijama temeljenim na Red Hatu to će izgledati ovako:

yum instalirajte cryptsetup-luks

Sintaksa za pokretanje naredbe je:

$ cryptsetup opcije operacije opcije_operacije

Pogledajmo osnovne operacije koje se mogu obaviti pomoću ovog uslužnog programa:

• luksFormat- stvoriti šifriranu particiju luks linux
• luksOpen- spojite virtualni uređaj (potreban dongle)
• luksZatvori- zatvorite luks linux virtualni uređaj
• luksAddKey- dodajte ključ za šifriranje
• luksUkloniKey- brisanje ključa za šifriranje
• luksUUID- prikaži UUID particije
• luksDump- stvarati sigurnosna kopija LUKS zaglavlja

Parametri operacije ovise o samoj operaciji, obično se radi o fizičkom uređaju s kojim treba izvršiti radnju, ili virtualnom, ili oboje. Nije još sve jasno, ali s praksom, mislim da ćete shvatiti.

Linux šifriranje diska

Teorija je završena, svi alati su spremni. Sada pogledajmo enkripciju linux particije. Prijeđimo na postavljanje tvrdog diska. Imajte na umu da će ovo izbrisati sve podatke s pogona ili particije koju namjeravate šifrirati. Dakle, ako tamo postoje važni podaci, bolje ih je kopirati na sigurnije mjesto.

Stvaranje odjeljka

U ovom primjeru šifrirat ćemo /dev/sda6 particiju, ali umjesto toga možete koristiti cijeli tvrdi disk ili samo jednu datoteku ispunjenu nulama. Napravite šifriranu particiju:

cryptsetup -y -v luksFormat /dev/sda6

UPOZORENJE!
========
Ovo će nepovratno prebrisati podatke na /dev/sda6.

Jesi li siguran? (Upišite velikim slovima da): DA
Unesite LUKS lozinku:
Potvrdite šifru:
Naredba uspjela.

Ova naredba će inicijalizirati particiju i postaviti ključ za inicijalizaciju i lozinku. Navedite lozinku kako je kasnije ne biste zaboravili.

Pokrenite sljedeću naredbu za otvaranje novostvorene particije pomoću dm-crypt modula u /dev/mapper, da biste to učinili morat ćete unijeti lozinku s kojom je izvršena luks linux enkripcija:

Unesite lozinku za /dev/sda6

Sada možete vidjeti novi virtualni uređaj /dev/mapper/backup2 kreiran pomoću naredbe luksFormat:

ls -l /dev/mapper/backup2

Da biste vidjeli status uređaja, pokrenite:

cryptsetup -v sigurnosna kopija statusa2

/dev/mapper/backup2 je aktivan.
tip: LUKS1
šifra: aes-cbc-essiv:sha256
veličina ključa: 256 bita
uređaj: /dev/sda6
offset: 4096 sektora
veličina: 419426304 sektora
način rada: čitanje/pisanje
Naredba uspjela.

Sa sljedećom naredbom možete napraviti sigurnosnu kopiju LUKS zaglavlja za svaki slučaj:

cryptsetup luksDump /dev/sda6

Pa, možemo reći da je odjeljak spreman. A najbolji dio je što ga sada možete koristiti kao bilo koju drugu regularnu particiju u direktoriju /dev. Možete ga formatirati pomoću standardnih uslužnih programa, pisati podatke u njega, promijeniti ili provjeriti datotečni sustav itd. Ne možete samo promijeniti veličinu. Odnosno, sve je potpuno transparentno, kao što je navedeno na početku članka.

Formatiranje particije

Prvo formatirajmo disk. Radi sigurnosti, kako bismo izbrisali sve podatke koji su prije bili na ovom mjestu, prebrisat ćemo našu šifriranu linux particiju nulama. To će smanjiti vjerojatnost razbijanja enkripcije povećanjem količine nasumičnih informacija. Da biste to učinili, pokrenite:

dd if=/dev/nula od=/dev/mapper/backup2

Pokretanje uslužnog programa može potrajati nekoliko sati; da biste mogli pratiti proces, koristite pv:

pv -tpreb /dev/nula | dd od=/dev/mapper/backup2 bs=128M

Kada je proces dovršen, možemo formatirati uređaj na bilo koji datotečni sustav. Na primjer, formatirajmo ga u ext4:

mkfs.ext4 /dev/mapper/backup2

Kao što vidite, sve cryptsetup naredbe se primjenjuju na fizičku particiju, dok se ostale naredbe za rad s diskovima primjenjuju na našu virtualnu.

Montaža particije

Sada možete montirati samo kreirani datotečni sustav:

$ montirati /dev/mapper/backup2 /backup2

Onemogućavanje particije

Sve radi, ali kako onemogućiti uređaj i zaštititi podatke. Da biste to učinili, pokrenite:

cryptsetup luks Zatvori sigurnosnu kopiju2

Ponovno montiranje

Da biste ponovno mogli raditi s kriptiranom particijom koristeći LUKS Linux, morate je ponovno otvoriti:

cryptsetup luksOpen /dev/sda6 sigurnosna kopija2

Sada možemo montirati:

montirati /dev/mapper/backup2 /backup2

Provjerite luks sustava datoteka

Budući da nakon otvaranja particije s luks linuxom, sustav ovu particiju tretira kao sve ostale, možete jednostavno koristiti uslužni program fsck:

sudo umount /backup2

$ fsck -vy /dev/mapper/backup2

$ montirati /dev/mapper/backup2 /backu2

Promijeni šifru luks

Šifriranje Linux diska izvodi se s određenom šifrom, ali je možete promijeniti. Još bolje, možete stvoriti do osam različitih zaporki. Za promjenu pokrenite sljedeće naredbe. Prvo napravimo sigurnosnu kopiju LUKS zaglavlja:

cryptsetup luksDump /dev/sda6

Zatim izradite novi ključ:

cryptsetup luksAddKey /dev/sda6

Unesite bilo koju šifru:

Unesite novu šifru za utor ključa:
Potvrdite šifru:

I izbriši staru:

cryptsetup luksRemoveKey /dev/sda6

Sada ćete morati unijeti staru lozinku.

zaključke

To je sve, sada znate kako šifrirati particiju u Linuxu, a također razumijete kako sve to radi. Osim toga, enkripcija diska u Linuxu pomoću LUKS algoritma otvara široke mogućnosti za potpunu enkripciju instaliranog sustava.

Prednosti:

• LUKS kriptira cijeli blok uređaj i stoga je vrlo pogodan za zaštitu sadržaja prijenosnih uređaja kao što su Mobiteli, prijenosni medij ili tvrdih diskova prijenosna računala.
• Možete koristiti NAS na poslužiteljima za zaštitu svojih sigurnosnih kopija
• Intel i AMD procesori s AES-NI (Advanced Encryption Standard) imaju skup naredbi koje mogu ubrzati proces enkripcije temeljen na dm-crypt u Linux kernelu od 2.6.32.
• Radi i sa swap particijom, tako da vaše prijenosno računalo može potpuno sigurno koristiti način mirovanja ili hibernaciju.