Uy katalogini shifrlash qattiq diskda yoki boshqa saqlash vositalarida saqlangan ma'lumotlarni ishonchli himoya qiladi. Noutbuklarda, bir nechta kirish huquqiga ega kompyuterlarda, shuningdek, boshqa har qanday sharoitda shifrlash ayniqsa muhimdir. Linux Mint-ni o'rnatishda uy katalogini shifrlash taklif etiladi.

Uy katalogini to'liq shifrlashning asosiy jihati shundaki, shifrlangan ma'lumotlar bilan katalogni o'rnatish nuqtasidan tashqariga "ko'chirish" kerak.

Ishlash hech bo'lmaganda SWAP ishlatilgunga qadar biroz pasayadi. SWAP - bu maxsus disk bo'limi yoki fayl bo'lib, unga ilovalarni ishga tushirish uchun operativ xotira yetarli bo'lmaganda operatsion tizim RAMning alohida bloklarini ko'chiradi. O'rnatuvchida uy katalogini shifrlashni tanlasangiz, SWAP ham shifrlangan bo'ladi va uyqu rejimi ishlashni to'xtatadi.

Uy katalogi shifrlanganda SWAPni shifrlamaslik potentsial xavflidir, chunki shifrlangan fayllardan olingan ma'lumotlar u erda aniq matnga aylanishi mumkin - shifrlashning butun nuqtasi yo'qoladi. Linux Mint-ning 14-versiyasidan boshlab, o'rnatish vaqtida siz butun diskni shifrlash variantini tanlashingiz mumkin. Ushbu parametr shaxsiy ma'lumotlarni ko'chma qurilmalarda (odatda faqat bitta foydalanuvchiga ega) saqlash uchun eng mos keladi.

1.3 Gnome-da shifrlash - Seahorse

Linux Mint-da o'rnatilgan Parollar va kalitlar yordam dasturi yoki Seahorse mavjud. Uning imkoniyatlaridan foydalanib, foydalanuvchi ushbu OTda mavjud bo'lgan barcha kalitlar, parollar, shuningdek sertifikatlar bilan ishlashi mumkin.

Aslini olganda, Seahorse - bu GnuPG (ma'lumotni shifrlash va elektron raqamli imzolarni yaratish uchun bepul dastur) ning old qismi bo'lgan va shifrlash kalitlarini boshqarish uchun mo'ljallangan GNOME (GNOME - Unix-ga o'xshash operatsion tizimlar uchun bepul ish stoli muhiti) uchun dastur. parollar. U GNOME 2.22 da to'liq almashtirilgan GNOME Keyring o'rnini egalladi, garchi u GNOME 2.18 da e'lon qilingan bo'lsa ham. Ilgari buyruq satrida bajarilishi kerak bo'lgan barcha operatsiyalarni bajarishga va ularni bitta interfeys ostida birlashtirishga imkon beradi:

ish muhitingiz va OpenPGP va SSH kalitlari xavfsizligini boshqarish;

fayllar va matnlarni shifrlash, kengaytirish va skanerlash;

hujjatlarga elektron raqamli imzo qo‘shish va tasdiqlash;

kalitlarni asosiy serverlar bilan sinxronlashtirish;

kalitlarni yaratish va nashr etish;

asosiy ma'lumotlarni zaxiralash;

har qanday qo'llab-quvvatlanadigan GDK-dagi rasmlarga OpenGPG foto identifikatori sifatida qo'shing;

1.4 TrueCrypt

TrueCrypt juda qulay grafik interfeysga ega, ammo, afsuski, ishlab chiquvchilar Nautilus fayl menejeri bilan kodga qattiq kodlangan integratsiyaga ega.

Ma'lumotlarni shifrlash uchun turli usullardan foydalanishingiz mumkin.

Avval siz shifrlash uchun mo'ljallangan fayl papkalarini o'z ichiga olgan konteyner deb ataladigan narsani yaratishingiz kerak. Konteyner ixtiyoriy nomga ega fayl yoki hatto butun disk bo'limi bo'lishi mumkin. Konteynerga kirish uchun siz parolni ko'rsatishingiz kerak, shuningdek, ma'lumot shifrlanadigan kalit faylni (ixtiyoriy) yaratishingiz mumkin. Konteyner hajmi cheklangan.

Shifrlangan bo'limlarni/fayllarni yaratish

Kalit faylni yaratish:

truecrypt -create-keyfile /home/user/test/file, bu erda fayl kalit faylning nomi.

Konteyner yaratish, bu holda bo'lim:

sudo truecrypt -k /home/user/test/file -c /dev/sda9

/dev/sda9 bo'limi o'rniga siz faylni ham belgilashingiz mumkin, masalan, /home/user/test/cryptofile, lekin bu holda siz uning hajmini belgilashingiz kerak bo'ladi, bu oldin -size=5G parametri bilan amalga oshiriladi. -c parametri. Yuqoridagi misol 5 GB hajmli kriptofaylni yaratadi. Ba'zan TrueCrypt o'lchamni faqat baytlarda qabul qiladi; 5 GB uchun siz qiymatni oldindan hisoblashingiz va -size=5368709120 ni belgilashingiz yoki uni quyidagicha yozishingiz mumkin: -size=`echo 1024^3*5 | miloddan avvalgi `.

Allaqachon yaratilgan kalit fayl shifrlash uchun ishlatiladi.

Yaratishda sizga konteyner turini (normal/yashirin), fayl tizimini (FAT, ext2/3/4 yoki FSsiz) tanlash taklif etiladi, bu misolda FS dan foydalanmasdan rejim tanlangan. Shuningdek, sizga shifrlash algoritmini tanlash (masalan, AES), shuningdek, ma'lumotlar oqimini shifrlash uchun xesh algoritmi (masalan, SHA-1) taklif etiladi.

TrueCrypt ma'lumotlarni tezda shifrlash uchun ishlatiladi, ya'ni konteynerni o'rnatishingiz va undagi fayllar bilan odatdagidek ishlashingiz mumkin (ochish/tahrirlash/yopish/yaratish/o'chirish), bu juda qulay.

Shifrlangan bo'lim/fayl yaratildi. Endi, agar siz uning ichki fayl tizimini (bundan buyon matnda FS deb yuritiladi) formatlashingiz kerak bo'lsa, quyidagilarni qilishingiz kerak.

Truecrypt yordamida kerakli bo'limni tanlang:

truecrypt -k /home/user/test/file /dev/sda9

Odatiy bo'lib, Truecrypt tomonidan yaratilgan qurilma /dev/mapper/truecrypt0 ishlatiladi. Ushbu qurilmaga kirish orqali siz, masalan, shifrlangan konteynerdagi FSni o'zgartirishingiz mumkin. Bunday holda, buni qilish kerak.

sudo mkfs.ext4 -v /dev/mapper/truecrypt0

Ushbu shifrlangan konteyner ichida ext4 FS shunday yaratilgan.

Keyinchalik, ushbu konteyner allaqachon /dev/mapper/truecrypt0 qurilmasiga "biriktirilgan" bo'lgani uchun, uni qandaydir katalogga o'rnatish qoladi. Ushbu o'rnatish katalogi tizimda allaqachon mavjud bo'lishi kerak.

sudo mount /dev/mapper/truecrypt0 /mnt/crypto, bu erda /mnt/crypto - shifrlangan konteyner o'rnatilgan katalog.

truecrypt -d

Endi kalit fayl va parolni bilmasdan, hech kim yashirin ma'lumotlarni o'qiy olmaydi.

Bugungi kunda muhim ma'lumotlarni oddiy matnda saqlash har qachongidan ham xavfliroq bo'lib qoldi. Va hukumatning kuzatuvi tufayli emas (agar ular xohlasalar, shikoyat qiladigan narsa topadilar va hokazo), balki bu ma'lumotlarni o'g'irlamoqchi bo'lganlar uchun. Aslida, ma'lumotni himoya qilishning ko'plab usullari mavjud, ammo ushbu maqolada kriptografik vositalar tasvirlanadi.

Boshqa ba'zi operatsion tizimlardan farqli o'laroq, Linux kriptografik ma'lumotlarni himoya qilish uchun turli xil vositalarga ega - elektron pochta yozishmalarini shifrlashdan fayllarni shifrlash va qurilmalarni blokirovka qilishgacha. Biz fayl tizimlari, fayllar va blok qurilmalari darajasida shifrlashdan manfaatdormiz. Birinchidan, farq nima ekanligini tushunishga arziydi. Fayl tizimi darajasida shifrlash asosiy fayl tizimi (albatta, fayl tizimining o'zi shifrlashni qo'llab-quvvatlamasa) va foydalanuvchi o'rtasida qatlam mavjudligini talab qiladi.

Afzallik bu turdagi shifrlash - barcha foydalanuvchilar uchun kalitlar boshqacha. Kamchilik shundaki, agar siz fayl nomini shifrlashni yoqsangiz, amaldagi nomning uzunligi kamayadi, bundan tashqari, foydalanuvchi faylni diskdagi boshqa joyga saqlashi mumkin, bu esa avtomatik ravishda foydani inkor etadi. Va yana bir narsa - ism shifrlash yoqilgan bo'lsa ham, vaqt belgilari bir xil bo'lib qoladi. Blok qurilma shifrlash fayl tizimi ostida, pastroq darajada sodir bo'ladi. Bunday holda, fayl tizimining o'zi, albatta, shifrlangan hajmda joylashganligini bilmaydi.

Afzalliklar bu usul oldingi kamchiliklarga qarama-qarshi. Kamchilik shundaki, siz uni har safar yuklab olganingizda/ulaganingizda parolni kiritishingiz kerak bo'ladi. Ikkinchi kamchilik shundaki, agar ish vaqtida tajovuzkor kriptokontaktik fayllarga kirish huquqiga ega bo'lsa.
teiner, hammasi - bu yo'qolgan. Oflayn hujumlardan himoyalanish aynan mana shu. Bundan tashqari, kripto-konteynerni bulutga saqlashning aksariyat holatlarida siz uni butunlay qayta yuklashingiz kerak bo'ladi.

Ushbu maqolada quyidagi kriptografik himoya usullarini sozlash tasvirlangan:
dm-crypt/LUKS- qurilma-mapper va CryptoAPI yadrosi yordamida kripto-konteyner yaratish;
eCryptfs- fayl tizimi darajasida shifrlash;
EncFS- yuqorida tavsiflanganga o'xshash, lekin yadro modullarini yuklashni talab qilmaydi.

DM-CRYPT/LUKS
dm-crypt konfiguratsiyasining ikki turi mavjud - oddiy va LUKS. Farqi shundaki, LUKS-dan foydalanilganda metama'lumotlar kriptotomning boshida mavjud bo'lib, bir nechta kalitlardan foydalanish va ularni o'zgartirish imkonini beradi. Shu bilan birga, ba'zi hollarda bunday sarlavhaning mavjudligi o'z-o'zidan murosaga olib keladi - ammo, aksariyat hollarda shunga o'xshash holatlar entropiya darajasi yuqori bo'lgan hudud ham murosaga keladi. Oddiy dm-kriptni kalit fayl va parol iborasi bilan o'rnatish Keling, kalit fayl bilan shifrlangan oddiy dm-crypt hajmining kombinatsiyasini qanday o'rnatishni ko'rib chiqaylik, o'z navbatida LUKS konteynerida mavjud. Birinchidan, bo'limlar qanday aniq joylashtirilishini hal qilishingiz kerak. Uchta asosiy variant mavjud:
shunchaki kripto hajmi;
birinchi navbatda kripto hajmi, keyin uning ustiga LVM;
birinchi kripto hajmi, keyin RAID, keyin LVM.

Va har xil kombinatsiyalar. Keling, ikkinchi variantni sinab ko'raylik. Birinchi qadam kalit faylni saqlash uchun LUKS konteynerini yaratishdir, shunda biz ushbu faylni kalit ibora bilan birga ishlatishimiz mumkin. Bunday holda, oddiy dm-kript bilan shifrlangan hajmni kriptotahlil qilish ehtimoli kamayadi:

# dd if=/dev/zero of=/root/key.luks bs=512 count=2057 # cryptsetup --align-payload=1 luksFormat /root/key.luks # cryptsetup luksOpen /root/key.luks kriptokey # dd if=/dev/urandom of=/dev/mapper/cryptokey

Birinchi buyruq konteyner faylini tayyorlaydi, ikkinchisi bu konteynerni yaratadi, uchinchisi uni bog'laydi, to'rtinchisi esa asosiy ma'lumotlarni yaratadi. Shuni ta'kidlash kerakki, -align-payload=1 opsiyasi LUKS metama'lumotlarining hajmi 4096 512 baytli bloklar emas, balki faqat 2056 bo'lishini ta'minlash uchun kerak. Shunday qilib, haqiqiy kalit ma'lumotlari uchun 512 bayt qoladi.
Keyin kriptotomni yaratishga o'tamiz. Ushbu nuqtada, agar mavjud bo'lsa, kriptoanalizni qiyinlashtirish uchun diskni psevdo-tasodifiy ma'lumotlar bilan to'ldirishingiz mumkin. Keyin kriptotom yaratishingiz mumkin. Buning uchun buyruq quyidagicha ko'rinadi (albatta, boshqa hollarda identifikatorlar farq qilishi mumkin, shuning uchun ehtiyot bo'lishingiz kerak):

# cryptsetup --cipher=serpent-xts-plain64 --offset=0--key-file=/dev/mapper/cryptokey --key-size=512 ochiq --type=plain/dev/disk/by-id/ ata-VBOX_HARDDISK_VB05eadebe-f25e8d59 kripto0

Agar kerak bo'lsa, shifrlashni talab qiladigan boshqa qurilmalarda shunga o'xshash buyruqni takrorlashingiz kerak. Keyin kriptovolumlarda LVM va FS ni yaratamiz:

Taxminan quyidagi tarkibga ega /etc/initramfs-tools/hooks/cryptokeys faylini yarataylik (skriptning xizmat qismi olib tashlangan):

Va fayl /etc/initramfs-tools/scripts/local-top/cryptokeys (yana xizmat qismi)
o'tkazib yuborilgan):

# <...> modprobe -b dm_crypt esa! (/sbin/cryptsetup luksOpen /etc/crypto/key. luks kriptokey /dev/disk/by - id /ata - VBOX_HARDDISK_VB05eadebe - f25e8d59 kripto0 && /sbin/cryptsetup plainOpen -- kalit - fayl = /dev/mapper/cryptokey /dev/disk/by - id /ata - VBOX_HARDDISK_VBc2414841 - cfeccde5 kripto1 && /sbin/cryptsetup luksKriptokeyni yopish ); qil echo “Qayta urinib koʻring. . . ” bajarildi

Ushbu ikkita fayl bajariladigan bo'lishi kerak. Keyin initrd ni yaratamiz:

# update-initramfs -u -k all -v

Keyingi safar qayta ishga tushirganingizda, sizdan LUKS konteyneri uchun parol so'raladi. Agar siz oddiy dm-crypt dan foydalansangiz, yana bir variant bor - umumiy pastki qatlam, bu sizga yashirin TrueCrypt hajmlari kabi narsalarni qilish imkonini beradi. Misol keltirish osonroq:

# cryptsetup --cipher=serpent-xts-plain64 --offset=0--size=2097152 --shared open --type=plain/dev/disk/by-id/ata-VBOX_HARDDISK_VBcda8398f-f1f1deec kripto # cryptsetup --cipher=serpent-xts-plain64 --offset=2097152--size=2097152 --shared open --type=plain/dev/disk/by-id/ata-VBOX_HARDDISK_VBcda8398f-f1f1deec

O'lcham va ofset 512 baytli bloklarda ko'rsatilgan.

LUKS ning ilg'or xususiyatlari
Keling, LUKS konteynerlaridan ilg'or foydalanishni ham ko'rib chiqaylik. Bularga kalitlarni almashtirish kiradi. Bu asosiy aylanish siyosatini buzish yoki yaratishda zarur. Buning uchun birinchi qadam konteyner sarlavhasining zaxira nusxasini yaratishdir. Hammasi bo'lsa
OK, kalitni almashtirgandan so'ng uni yo'q qilish mumkin. Biz buni, albatta, shifrlanmagan bo'limda qilamiz:

Nihoyat, biz qo'shamiz yangi kalit tizimga:

Keling, LUKS hajmlarini tiklash tartibini ham ko'rib chiqaylik. Eng oson variant, albatta, sarlavhaning nusxasi mavjud bo'lganda. Bunday holda, tiklash uchun faqat bitta buyruq talab qilinadi:

Eng uzun uzluksiz chiziq asosiy kalit bo'ladi. Uni shifrlanmagan hajmdagi faylga nusxalash va keyin ikkilik shaklga aylantirish kerak (bundan oldin, bu fayl yo'q
satr oxiri belgilari):

ENCFS
Keling, EncFS-ni tizimga kirgandan so'ng avtomatik ravishda o'rnatish uchun qanday sozlashni ko'rib chiqaylik. Birinchidan, kerakli paketlarni o'rnatamiz:

Ekspert rejimida sozlashda sizga bir qator savollar beriladi: shifr turi (faqat AES va Blowfish mavjud), kalit o‘lchami, blok o‘lchami, fayl nomlarini qanday shifrlash – blok shifrlash (bu fayl nomini to‘liq yashiradi, shu jumladan uzunligi), oqim shifrlash (eng yaqin uzunlik bilan shifrlaydi, agar nomlar juda uzun bo'lsa va blokli shifrdan foydalanganda ruxsat etilgan maksimal uzunlikdan oshib ketish ehtimoli juda yuqori bo'lsa, ba'zan qulay) yoki umuman bo'lmaydi. .. Oxirida sizdan parol so'raladi, u tizimga kirishda foydalanilgan parolga mos kelishi kerak, aks holda avtomatik o'rnatish ishlamaydi.

Keyin /etc/security/pam_encfs.conf faylini tahrirlashingiz kerak:

Va /etc/fuse.conf fayli:

Va foydalanuvchini sug'urta guruhiga qo'shing:

$ sudo usermod - a - G sug'urta $ USER

Chiqish va tizimga kirgandan so'ng, shaxsiy katalog shaxsiy ma'lumotlarni saqlash uchun ishlatilishi mumkin. Shuni ta'kidlash kerakki, audit natijasida ba'zi (juda jiddiy) xavfsizlik muammolari aniqlandi bu tizim Haqiqatan ham muhim ma'lumotlarni saqlash uchun uni ishlatish tavsiya etilmaydi.

ECRYPTFS
Ma'lumki, eCryptFS Ubuntu'da uy kataloglarini himoya qilish uchun standart vosita sifatida ishlatiladi. Keling, bu qanday ishlashini ko'rib chiqaylik - keling, shifrlangan katalogni qo'lda yarataylik. Keling, paketlarni o'rnatamiz:

eCryptFS yaratish

Va fayl tizimini o'rnating (birinchi o'rnatish paytida barcha kerakli metama'lumotlar yaratiladi):

$ sudo mount - t ecryptfs / home / rom /. sir/uy/rom/maxfiy

Sizdan parol so'raladi (faqat bir marta, takroriy kiritish amalga oshirilmaydi, bu unchalik yaxshi ko'rinmaydi. yaxshi qaror, uzun bo'lishi kerakligini hisobga olsak), keyin u shifr turini (AES, Blowfish, 3DES, Twofish, CAST6 va CAST5), kalit hajmini so'raydi, katalogdagi shifrlanmagan fayllarga ruxsat berish yoki rad etish haqida savol beriladi. shifrlanganlar bilan, fayl nomlarini shifrlash kerakmi ... va oxirida u imzoni ma'lum bir faylga o'rnatish va saqlashni xohlaymizmi, deb so'raydi. Savol birinchi qarashda ko'rinadigan darajada ahmoqona emas: ushbu dasturda imzo bo'lmasa, to'g'ri parolni noto'g'ri paroldan ajratishning hech qanday usuli yo'q.

Foydalanuvchining uy katalogini shifrlash

Birinchi ishga tushirish paytida siz bir nechta jarayonlarni tugatishingiz kerak bo'lishi mumkin. Shifrlashdan so'ng siz darhol foydalanuvchi sifatida tizimga kirishingiz kerak va sizdan shifrlash uchun yaratilgan va o'z navbatida foydalanuvchi paroli bilan himoyalangan parolni yozish yoki chop etish taklif qilinadi. Bu favqulodda vaziyatda tiklanish uchun zarurdir.

Parol iborangizni eslab qolish uchun ogohlantirish

Keling, uni qanday tiklashni ko'rib chiqaylik. Faraz qilaylik, parol iborasi yozilmagan va tiklash Live CD dan qilingan. Fayl tizimi o'rnatilgan deb taxmin qilinadi. home/.ecryptfs/rom/.ecryptfs katalogiga o'ting va buyruqni kiriting:

dm-tasdiqlash
Dm-verify moduli blokli qurilmalarning yaxlitligini tekshirish uchun mo'ljallangan. Tekshiruv xesh daraxti yordamida amalga oshiriladi, bu erda "barglar" bloklarning xesh yig'indisi, "novdalar" esa "barglar" to'plamining xesh yig'indisidir. Shunday qilib, blokli qurilmani (u bo'lim yoki disk bo'ladimi) tekshirish uchun faqat bitta nazorat summasini tekshirish kifoya.
Ushbu mexanizm (bilan birga raqamli imzo) ba'zi Android qurilmalarida tizim bo'limlarini o'zgartirishdan himoya qilish uchun, shuningdek, Google Chromium OS da qo'llaniladi.

XULOSA
Linux aslida kriptografik ma'lumotlarni himoya qilish uchun juda ko'p vositalarni o'z ichiga oladi. Ta'riflangan uchta vositadan kamida bittasi barcha zamonaviy Linux distributivlarida mavjud. Lekin nimani tanlash kerak?
dm-crypt/LUKS U shifrlangan hajmni tezda o'chirib qo'yish mumkin bo'lgan hollarda va zaxira nusxalari kerak bo'lmaganda yoki boshqa tasniflangan hollarda qo'llanilishi kerak. Ushbu holatda bu qaror ko'proq samarali, ayniqsa shifrlash o'zboshimchalik uyalar kaskadi va turi (masalan, AES-Twofish-AES) amalga oshirilishi mumkinligini hisobga olsak, - haqiqiy jannat
paranoid uchun.
eCryptFS shifrlangan ma'lumotlarni biron bir joyda saqlashingiz kerak bo'lgan hollarda mos keladi - masalan, bulutda. U juda kuchli shifrlashni ta'minlaydi (garchi standart 128 bitli variant kriptografik quvvatni ikki bitga kamaytirish imkoniyatiga ega bo'lsa ham) va oxirgi foydalanuvchi uchun shaffofdir.
EncFS lekin bu qariyb o'n yil oldin, undan ham qadimiy asarlarga asoslangan keksa odam. Hozirda potentsial xavfsizlik teshiklari tufayli foydalanish tavsiya etilmaydi, lekin bulutlarda sezgir bo'lmagan ma'lumotlarni himoya qilish uchun platformalararo vosita sifatida foydalanish mumkin.

Agar siz bunday vositalardan foydalanishingiz kerak bo'lsa, har doim himoya qilish har tomonlama bo'lishi kerakligini yodda tutishingiz kerak.

Disk (TrueCrypt bilan). GRUB2-ga shifrlash yordamini qo'shish bo'yicha ish borligini bilaman, lekin u hali tayyor emas. Boshqa variantlar bormi?

(E'tibor bering, men bu erda to'liq disk shifrlashni nazarda tutyapman, shu jumladan/boot)

Javoblarning aksariyati /boot shifrlanmagan o'rnatishni tavsiflaydi va ularning ba'zilari nima uchun shifrlanmagan /boot yaxshi bo'lishi kerakligini tushuntirishga harakat qiladi.

Nima uchun /boot shifrlanishi kerakligi haqida bahslashmasdan turib, GRUB2 ning o‘zgartirilgan versiyasiga asoslangan holda aynan nima kerakligini tasvirlaydigan maqola:

• http://xercestech.com/full-system-encryption-for-linux.geek

Muammo shundaki, bu o'zgartirishlar joriy GRUB2 kod bazasida qo'llab-quvvatlanmaydi (yoki men biror narsani etishmayotgandirman).

8 Yechimlar “Diskni to‘liq shifrlashni qo‘llab-quvvatlaydigan Linux yuklash moslamalari?” uchun forma veb-versiyasini to‘playdi.

O'ylaymanki, GRUB2 ning joriy versiyasi o'z-o'zidan LUKS bo'limlarini yuklash va shifrini ochishni qo'llab-quvvatlamaydi (u ba'zi shifrlarni o'z ichiga oladi, lekin ular faqat parolni qo'llab-quvvatlash uchun ishlatiladi deb o'ylayman). Men eksperimental ishlab chiqish bo'limini tekshira olmayman, lekin GRUB sahifasida siz qilmoqchi bo'lgan narsani amalga oshirish uchun ba'zi ishlar rejalashtirilganligi haqida ba'zi maslahatlar mavjud.

Yangilash (2015) : oxirgi versiya GRUB2 (2.00) allaqachon shifrlangan LUKS va GELI bo'limlariga kirish uchun kodni o'z ichiga oladi. (OP taqdim etgan xercestch.com havolasi buning uchun birinchi tuzatishlarni eslatib o'tadi, ammo ular endi eng so'nggi versiyaga kiritilgan).

Ammo, agar siz xavfsizlik nuqtai nazaridan butun drayverni shifrlamoqchi bo'lsangiz, shifrlanmagan yuklovchi (masalan, TrueCrypt, BitLocker yoki o'zgartirilgan GRUB) shifrlanmagan/yuklash bo'limidan (SP tomonidan ta'kidlanganidek) ko'proq himoyani ta'minlamasligiga e'tibor bering. yuqoridagi izohda). Kompyuterga jismoniy kirish huquqiga ega bo'lgan har bir kishi uni maxsus versiya bilan osongina almashtirishi mumkin. Bu hatto siz bog'lagan xercestech.com maqolasida ham aytib o'tilgan:

Aniqroq qilib aytadigan bo'lsak, bu sizning tizimingizni oflayn hujumga nisbatan zaifroq qilmaydi; agar tajovuzkor sizning yuklash qurilmangizni o'zi bilan almashtirsa yoki o'z kodini yuklash uchun yuklash jarayonini qayta yo'naltirsa, tizimingiz hali ham xavf ostida qolishi mumkin.

E'tibor bering, barcha dasturiy mahsulotlar uchun to'liq shifrlash drayvlar shifrlanmagan bootloader yoki shifrlanmagan yuklash/preboot bo'limidan foydalanishidan qat'i nazar, bu zaiflikka ega. BitLocker kabi TPM (Ishonchli platforma moduli) chiplarini qo'llab-quvvatlaydigan mahsulotlar ham uskunani o'zgartirmasdan amalga oshirilishi mumkin.

Yaxshiroq yondashuv bo'ladi:

1. BIOS darajasida shifrni ochish (in anakart disk adapterida yoki tashqi apparatda [smart kartada], TPM chipli yoki chipsiz) yoki
2. PBA (yuklashdan oldin avtorizatsiya) avtorizatsiya kodini (bu holda yuklash bo'limi) olinadigan qurilmada (masalan, smart-karta yoki USB drayv) olib yuring.

Buni ikkinchi usulda amalga oshirish uchun siz Linuxning Full Disk Encryption (LFDE) loyihasini quyidagi manzilda tekshirishingiz mumkin: http://lfde.org/, u /boot qismini tashqi USB diskiga ko'chirish uchun o'rnatishdan keyingi skriptni taqdim etadi, kalitni GPG bilan shifrlash va uni USB-da saqlash. Shunday qilib, yuklash yo'lining zaif qismi (shifrlanmagan / yuklash bo'limi) har doim siz bilan bo'ladi (siz shifrlash kodi va kalitiga jismoniy kirish huquqiga ega bo'lgan yagona shaxs bo'lasiz). ( Eslatma: Ushbu sayt yo'qolgan va muallifning blogi ham yo'qolgan, biroq eski fayllarni https://github.com/mv-code/lfde manzilidan topishingiz mumkin, faqat oxirgi ishlanma 6 yil oldin amalga oshirilganligini ta'kidlab o'tish kerak). Osonroq muqobil sifatida siz OSni o'rnatishda USB diskiga shifrlanmagan yuklash qismini o'rnatishingiz mumkin.

Hurmat bilan, M.V.

Birinchi RAMdisk va /boot papkasini shifrlanmagan qiling.

Bu haydovchilar va "haqiqiy" ildizga o'tishni qo'llab-quvvatlaydigan "minimal" yadroni keltirib chiqaradi fayl tizimi, bu shifrlangan.

"Bu xakerlik" deb e'lon qilishdan oldin esda tuting - ko'pchilik (hammasi bo'lmasa ham) Linux distributivlari sukut bo'yicha bugun yuklangan. Bu sizning tizimingizga fayl tizimidan yuklanishi kerak bo'lgan modullar yordamida root FS-ni yuklash va yuklash imkonini beradi. (Tovuq va tuxum muammosi). Misol uchun, agar ildiz fayl tizimingiz apparat RAID hajmida bo'lsa va root FS-ni o'rnatishdan oldin uning drayverini yuklashingiz kerak bo'lsa.

Men siz e'lon qilgan havolani ko'rib chiqdim - yuklash bo'limi yo'q bo'lsa-da, qattiq diskda hanuzgacha shifrlanmagan bootloader mavjud bo'lib, unga zararli hujum orqali kirish va xavf tug'dirish mumkin. Men qattiq diskda shifrlanmagan ma'lumotlar yo'q bo'lgan shunga o'xshash sozlashni qidiryapman, lekin hozirgacha men faqat olinadigan diskdan bootloaderni ishga tushirishni o'ylab topdim.

Ishonamanki, ularning aksariyati sizga kerak bo'lgan narsa birinchi navbatda shifrlangan HD bilan operatsion tizimni qanday o'rnatish bo'yicha ko'rsatmalardir.

Ubuntu shifrlangan bo'limlar, LMVP, papkalar va hokazolarni yaratish bo'yicha ko'rsatmalarga ega yaxshi sahifaga ega, faqat tarqatish versiyangiz...

Yo'q, menimcha, yo'q.

Haqiqatan ham shifrlash/yuklab olish kerakmi? Men shubhalanaman. Fayl tizimining qolgan qismi oddiy Linux dasturiy ta'minoti bilan shifrlanishi mumkin, u /boot-dagi initramflarda joylashgan va foydalanuvchini shunga mos ravishda taklif qiladi.

Siz qila olmaydigan narsani so'rab, uni solishtirayotganga o'xshaysiz Windows yechimi, qaysi amalga oshirishni sizdan yashiradi, lekin aslida Linux qiladigan ishni bajaradi.

Men o'ylashim mumkin bo'lgan eng yaqin yechim - bu foydalanish qattiq disk, bu parol xavfsizligi va shifrlashni amalga oshiradi. Ba'zi Thinkpad noutbuklari ushbu apparat echimlaridan foydalanadi.

Javob maqolada keltirilgan. "Bu endi nafaqat qo'llab-quvvatlash uchun yamalgan keyingi avlod GRUB2 yuklash moslamasining kengaytmalari bilan mumkin" va "keyinroq luks grub2 qo'llab-quvvatlashi bilan yangi tasvirni o'rnatmoqchimiz" va "Endi GRUB2 manbasini LUKS bilan kompilyatsiya qilamiz" qo'llab-quvvatlash. “Ko‘rinishidan, GRUB2 yoki vilkali GRUB2 manbasini olish va yoqishingiz kerak bo‘lgan tuzatish yoki kengaytma mavjud.

Grub2 versiyasi 2.02~beta3 Grub2 versiyasi 2.02~beta2 qila olmaydigan ko'p narsalarni qila oladi, men tomonidan sinovdan o'tgan:

1. Super Grub 2 disk yordamida yuklash
2. Buyruqlar qatoriga o'tish uchun "c" ni kiriting
3. Men xohlagan shifrlangan bo'limni o'rnatish uchun buyruqlarni kiriting
   • insmod lyuks
   • cryptomount(hd0, #) // bu yerda # shifrlangan qismni bildiradi
4. Parol iborasini kiriting va ba'zi buyruqlarni kiriting
   • multiboot (crypto0) /grub/i386-pc/core.img
   • yuklash

Bu shifrlangan bo'lim ichida joylashgan boshqa Grub2 ni yuklaydi, bu erda yovuz aqldan ozgan hujumga o'rin yo'q... Men CD dan yuklayman (faqat o'qish) va keyin shifrlangan bo'limni (parol iborasi emas, hech narsa!) o'rnataman, so'ngra ichkaridan yuklayman. shifrlangan bo'lim va o'z menyusi bilan Grub2-ni yuklash va boshqalar.

Ogohlantirish: Grub2 versiyasi 2.02~beta2 ham xuddi shunday qila olmaydi, chunki unda kriptomontaj buyrug'i bilan bog'liq ba'zi xatolar (Grub2 2.02~beta3 versiyasida tuzatilganga o'xshaydi) mavjud...

Men aytayotgan beta2 xatolar:

1. U aslida shifrlangan bo'limni o'rnatmaydi, shuning uchun u (crypto0)/* ga kirishga ruxsat bermaydi.
2. Agar bir nechta shifrlangan bo'lim bo'lsa, cryptomount -a dan foydalanish faqat bitta parolni talab qiladi
3. Cryptomount-ni ishga tushirgandan so'ng, u yana ishga tushsa, hech narsa qilmaydi

beta 3 da:

1. U shifrlangan bo'limni o'rnatadi va bir vaqtning o'zida bir nechta o'rnatilgan bo'lsa (crypto0)/* yoki (crypto1)/* va boshqalar orqali fayllarga kirish imkonini beradi.
2. U har bir parolni so'raydi (har bir shifrlangan bo'limda bittadan)
3. Bu sizga kerak bo'lganda ko'p marta ishlatish imkonini beradi, siz birini, keyin boshqasini va hokazolarni o'rnatishingiz mumkin.

Yon eslatma: Men boshqa yoki bir xil grub2/boshqa va hokazo yuklash yuklagichini qayta ishga tushirish yoki yuklashdan tashqari, ularni qanday qilib o'chirishni tushunmadim.

Umid qilamanki, bu narsalarni aniqlashtirishga yordam beradi va umid qilamanki, Grub2 2.02~beta3 versiyasi LiveCD-ga integratsiya qilinadi, shuning uchun uni o'zimiz kompilyatsiya qilmasdan o'rnatishimiz mumkin.

PD: Super Grub 2 diskida men Grub2 2.02~beta3 versiyasini o'rnatish usulini ko'rmayapman. MBR bo'limi/boot va boshqalar.

Ma'lumotlaringizni begona ko'zlardan yashirishni xohlaysizmi? Biz sizga qattiq diskni shifrlash usullarini o'rgatamiz.

Orqada O'tkan yili Internet ma'lumotlarining xavfsizligi mavzusi tez-tez paydo bo'ldi: avval Snoudenning vahiylari bilan, keyin OpenSSL (Heartbleed bug) zaifligi bilan. Oxirgisidan biroz oldin GnuTLS-da kamroq seziladigan xato aniqlandi. Natijada, biz o'chirilgan ma'lumotlar xavfsizligiga ko'proq e'tibor bera boshladik; lekin bizning diskimizda saqlanadiganlar haqida nima deyish mumkin?

Qurilmalar to'plamini bloklash

Shifrlashni ko'rib chiqishdan oldin, blokirovka qurilmalari qanday ishlashini tushunish muhimdir. Ular /dev/sda kabi saqlash qurilmalari uchun tizim interfeyslari! Blok qurilmaning ichida SATA kabi apparat drayveri va uskunaning o'zi mavjud. Keyin operatsion tizim blok qurilma bilan o'zaro ta'sir qiladi va unda fayl tizimini yaratadi.

Blok qurilmalari odatda ushbu quvvatda ko'rib chiqiladi, garchi ular boshqa funktsiyalarga ega. Xususan, bunday qurilma boshqa bir qator blokli qurilmalar uchun interfeys bo'lishi mumkin - ular stek hosil qilishi mumkin. Va siz buni allaqachon qildingiz: sizda /dev/sda1 (disk bo'limi) da fayl tizimi mavjud va bu bloklash qurilmasi /dev/sda (butun disk) ga ishora qiladi.

RAID va LVM (Logical Volume Management) kabi texnologiyalar ham blokli qurilmalar steklari hisoblanadi. Yuqorida LVM bo'lishi mumkin RAID massivi, bu esa, o'z navbatida, alohida disklar yoki ularning bo'limlarining blok qurilmalarida ham joylashgan.

Dm-crypt bilan butun qurilma shifrlash quyidagicha ishlaydi: saqlash muhiti asosida blokli qurilma yaratiladi, u saqlanganda ma'lumotlarni shifrlaydi va o'qilganda shifrni ochadi. Keyin standart fayl tizimini shifrlangan qurilma ustiga o'rnatasiz va u oddiy disk bo'limi kabi ishlaydi.

Ko'pgina tarqatishlar shifrlangan diskka o'rnatilishi mumkin, ammo biz o'rnatuvchi amalga oshiradigan qora sehrga tegmasdan, to'g'ridan-to'g'ri dm-crypt qurilmalarini yaratish va ishlashini ko'rib chiqamiz. Dm-crypt shifrlash maqsadida yadro kriptografik funksiyalariga ega blokli qurilmalarni boshqarish uchun yadro qurilmalarini xaritalash quyi tizimidan foydalanadi.

Hamma narsa yadro tomonidan amalga oshiriladi, lekin foydalanuvchi darajasida bizga dm-crypt qurilmalarini yaratish va boshqarish uchun dasturiy ta'minot kerak; shunga o'xshash standart vosita kriptosetup degan ma'noni anglatadi. Ehtimol, u allaqachon tarqatishda o'rnatilgan; va agar bo'lmasa, u albatta asosiy omborlarda bo'ladi.

Shifrlash

Odatiy qiymatlar odatda ko'proq va barchasi etarli mavjud variantlar cryptsetup -help bilan ko'rish mumkin. Ushbu parametrlar faqat LuksFormat bilan kerak. Xavfsiz qurilma yaratishda cryptsetup avtomatik ravishda foydalanadi to'g'ri sozlamalar uni ochish uchun.

Mashhur shifrlar va xeshlarga amal qilganingiz ma’qul, agar boshqa narsani tanlash uchun yaxshi sabab bo‘lmasa. Kamroq qo'llaniladigan usullarda yashirin kamchiliklar bo'lishi mumkin, chunki ular kamroq sinovdan o'tgan, bu yaqinda cryptsetup tomonidan qo'llaniladigan libcgrypt kutubxonasida Whirlpool xesh ilovasi bilan sodir bo'lgan. Tuzatishlar amalga oshirilganda, allaqachon nuqsonli xeshlardan foydalangan tizimlar ta'sir ko'rsatdi.

An'anaviy usullarga rioya qilishning yana bir sababi - bu portativlik. Bu ichki disk uchun muhim emas, lekin agar siz shifrlangan drayverni boshqa tizimda ishlatmoqchi bo'lsangiz, u erda ham xuddi shu xeshlar va shifrlar o'rnatilishi kerak.

LUKS

LUKS— Linux Unified Key Setup disklarda shifrlangan maʼlumotlarni saqlash uchun standart, oʻzaro platformalar (nomiga qaramay) formatini taʼminlash uchun yaratilgan. Bu shifrlash usullariga emas, balki ular haqidagi ma'lumotlarni saqlash usuliga tegishli.

U ham ko'proq ishonchli tarzda kalitlar yoki parollarni saqlash, chunki dm-crypt usuli buzg'unchilikka moyil. LUKS oʻzaro platforma boʻlgani uchun shifrlangan qurilmalarga Windows orqali ham kirish mumkin.

Xavfsizlik va maxfiylik muhim ma'lumotlarni kompyuterda saqlaydiganlar uchun juda muhimdir. Sizning uy kompyuteri xavfsiz, lekin noutbuk yoki boshqa portativ qurilmalar bilan vaziyat juda boshqacha. Agar siz noutbukingizni deyarli hamma joyda o'zingiz bilan olib yursangiz va ruxsatsiz shaxslar unga kirish huquqiga ega bo'lsa, savol tug'iladi - ma'lumotlaringizni boshqa odamlarning aralashuvidan qanday himoya qilish kerak. Bu jismoniy hujumlardan kelib chiqadi, bu erda har kim ma'lumot olishga harakat qilishi mumkin USB xotira yoki qattiq disk noutbukni oddiygina qurilmani olib tashlash yoki noutbukda qattiq diskni olib tashlash va uni boshqa operatsion tizimga ulash orqali.

Ko'pgina korxonalar va hatto oddiy foydalanuvchilar Maxfiy ma'lumotlarni himoya qilish uchun Linuxda disk shifrlashdan foydalaning, masalan: mijoz ma'lumotlari, fayllar, bog'lanish uchun ma'lumot va boshqalar. Linux operatsion tizimi bo'limlarni, alohida kataloglarni yoki butun qattiq diskni himoya qilish uchun bir nechta kriptografik usullarni qo'llab-quvvatlaydi. Ushbu usullarning har qandayidagi barcha ma'lumotlar avtomatik ravishda shifrlanadi va tezda shifrlanadi.

Fayl tizimi darajasidagi shifrlash:

• 1. eCryptfs- bu kriptografik fayl Linux tizimi. U har bir fayl uchun kriptografik metamaʼlumotlarni saqlaydi alohida fayl, shuning uchun fayllar kompyuterlar o'rtasida nusxalanishi mumkin. Agar sizda kalit bo'lsa, fayl muvaffaqiyatli shifrlanadi. Ushbu yechim, masalan, Ubuntu-da shifrlangan uy katalogini amalga oshirish uchun keng qo'llaniladi. Bundan tashqari, ChromeOS foydalanilganda ushbu algoritmlarni shaffof tarzda joylashtiradi tarmoq qurilmalari ma'lumotlarni saqlash uchun (NAS).
• 2.EncFS- foydalanuvchi maydonida shifrlangan fayl tizimini taqdim etadi. U hech qanday qo'shimcha imtiyozlarsiz ishlaydi va fayl tizimi interfeysini ta'minlash uchun sug'urta kutubxonasi va yadro modulidan foydalanadi. EncFS bepul dastur bo'lib, GPL litsenziyasiga ega.

Qurilma darajasidagi blok shifrlash:

• Loop-AES- tezkor va shaffof fayl tizimi, shuningdek, Linuxda almashtirish bo'limini shifrlash uchun paket. Dasturning manba kodi uzoq vaqt davomida o'zgartirilmagan. U 4.x, 3.x, 2.2, 2.0 yadrolari bilan ishlaydi.
• TrueCrypt- Bu bepul yechim ochiq bilan manba kodi operatsiya xonalarida diskni shifrlash uchun Windows tizimlari 7 / Vista / XP / Mac OS X, shuningdek Linux.
• dm-crypt+LUKS- dm-crypt - yadro 2.6 va undan keyingi versiyalarida diskni shifrlash uchun shaffof quyi tizim. Butun disklarni, olinadigan mediani, bo'limlarni, RAID hajmlarini shifrlashni qo'llab-quvvatlaydi, dasturiy ta'minot, mantiqiy hajmlar va fayllar.

Ushbu qo'llanmada biz Linuxda qattiq diskni diskda Linux formatida birlashtirilgan kalitni o'rnatish (LUKS) algoritmi yordamida shifrlashni ko'rib chiqamiz.

LUKS qanday ishlaydi?

LUKS (Linux Unified Key Setup - blokli qurilma shifrlash protokoli. Lekin biz juda oldinga sakrab chiqdik, uning qanday ishlashini tushunish uchun biz ushbu usulda qo'llaniladigan boshqa texnologiyalarni tushunishimiz kerak.

Shifrlashni amalga oshirish uchun linux disk dm-crypt yadro moduli ishlatiladi. Ushbu modul fayl tizimi va foydalanuvchi uchun shaffof shifrlangan /dev/mapper katalogida virtual blokli qurilma yaratish imkonini beradi. Aslida, barcha ma'lumotlar shifrlangan jismoniy bo'limda joylashgan. Agar foydalanuvchi virtual qurilmaga ma'lumot yozishga harakat qilsa, u tezda shifrlanadi va diskka yoziladi; virtual qurilmadan o'qiyotganda, teskari operatsiya amalga oshiriladi - ma'lumotlar jismoniy diskdan shifrlanadi va aniq matnda uzatiladi. virtual disk foydalanuvchiga. Odatda shifrlash uchun AES usuli qo'llaniladi, chunki ularning aksariyati buning uchun optimallashtirilgan. zamonaviy protsessorlar. Shuni ta'kidlash kerakki, siz faqat bo'limlar va disklarni emas, balki oddiy fayllarni ham ularda fayl tizimini yaratish va ularni tsikl qurilmasi sifatida ulash orqali shifrlashingiz mumkin.

LUKS algoritmi shifrlangan axborot vositalari bilan ishlashda qanday harakatlar va qanday tartibda bajarilishini aniqlaydi. LUKS va dm-crypt moduli bilan ishlash uchun Cryptsetup yordam dasturidan foydalaning. Buni batafsil ko'rib chiqamiz.

Cryptsetup yordam dasturi

Cryptsetup yordam dasturi dm-crypt moduli yordamida Linux bo'limini shifrlashni osonlashtiradi. Keling, avval uni o'rnatamiz.

Debian yoki Ubuntu-da ushbu buyruqdan foydalaning:

apt-get o'rnatish cryptsetup

Red Hat asosidagi tarqatishlarda u quyidagicha ko'rinadi:

yum cryptsetup-luks-ni o'rnating

Buyruqni ishga tushirish sintaksisi:

$ cryptsetup imkoniyatlari operatsiya options_operations

Keling, ushbu yordamchi dastur yordamida bajarilishi mumkin bo'lgan asosiy operatsiyalarni ko'rib chiqaylik:

• luksFormat- luks linux shifrlangan bo'limini yarating
• luksOpen- virtual qurilmani ulang (dongle kerak)
• luksClose- luks linux virtual qurilmasini yoping
• luksAddKey- shifrlash kalitini qo'shing
• luksRemoveKey- shifrlash kalitini o'chirish
• luksUUID- UUID bo'limini ko'rsatish
• luksDump- yaratmoq zaxira nusxasi LUKS sarlavhalari

Operatsiyaning parametrlari operatsiyaning o'ziga bog'liq, odatda bu harakat bajarilishi kerak bo'lgan jismoniy qurilma yoki virtual yoki ikkalasi. Hali hamma narsa aniq emas, lekin amaliyot bilan siz buni tushunasiz deb o'ylayman.

Linux disk shifrlash

Nazariya tugallandi, barcha vositalar tayyor. Endi Linux bo'limining shifrlanishini ko'rib chiqamiz. Keling, qattiq diskni sozlashga o'tamiz. Shuni yodda tutingki, bu siz shifrlamoqchi bo'lgan disk yoki bo'limdagi barcha ma'lumotlarni o'chirib tashlaydi. Shuning uchun u erda muhim ma'lumotlar mavjud bo'lsa, uni xavfsizroq joyga nusxalash yaxshiroqdir.

Bo'lim yaratish

Ushbu misolda biz /dev/sda6 qismini shifrlaymiz, lekin uning o'rniga butun qattiq diskdan yoki nol bilan to'ldirilgan bitta fayldan foydalanishingiz mumkin. Shifrlangan bo'lim yarating:

cryptsetup -y -v luksFormat /dev/sda6

OGOHLANTIRISH!
========
Bu /dev/sda6-dagi ma'lumotlarni qaytarib bo'lmaydigan tarzda qayta yozadi.

Ishonchingiz komilmi? (Katta harf bilan ha yozing): YES
LUKS parolini kiriting:
Parolni tasdiqlang:
Buyruq muvaffaqiyatli.

Ushbu buyruq bo'limni ishga tushiradi va ishga tushirish kaliti va parolni o'rnatadi. Keyinchalik unutmaslik uchun parolni belgilang.

/dev/mapper-dagi dm-crypt moduli yordamida yangi yaratilgan bo'limni ochish uchun quyidagi buyruqni bajaring, buning uchun siz luks linux shifrlash amalga oshirilgan parolni kiritishingiz kerak bo'ladi:

/dev/sda6 uchun parolni kiriting

Endi siz luksFormat buyrug'i yordamida yaratilgan /dev/mapper/backup2 yangi virtual qurilmasini ko'rishingiz mumkin:

ls -l /dev/mapper/backup2

Qurilma holatini ko'rish uchun quyidagilarni bajaring:

cryptsetup -v holatini zaxiralash2

/dev/mapper/backup2 faol.
turi: LUKS1
shifr: aes-cbc-essiv: sha256
kalit hajmi: 256 bit
qurilma: /dev/sda6
ofset: 4096 sektor
hajmi: 419426304 sektorlar
rejim: o'qish / yozish
Buyruq muvaffaqiyatli.

Quyidagi buyruq yordamida siz har qanday holatda LUKS sarlavhalarining zaxira nusxasini yaratishingiz mumkin:

cryptsetup luksDump /dev/sda6

Xo'sh, bo'lim tayyor deb aytishimiz mumkin. Va eng yaxshi tomoni shundaki, siz endi uni /dev katalogidagi boshqa oddiy bo'limlar kabi ishlatishingiz mumkin. Siz uni standart yordamchi dasturlar yordamida formatlashingiz, unga ma'lumotlarni yozishingiz, fayl tizimini o'zgartirishingiz yoki tekshirishingiz va hokazo. Siz shunchaki o'lchamni o'zgartira olmaysiz. Ya'ni, maqola boshida aytib o'tilganidek, hamma narsa butunlay shaffof.

Bo'limni formatlash

Avval diskni formatlaymiz. Xavfsiz bo'lish uchun, avval bu joyda bo'lgan barcha ma'lumotlarni o'chirish uchun biz shifrlangan Linux bo'limimizni nol bilan qayta yozamiz. Bu tasodifiy ma'lumotlar miqdorini oshirish orqali shifrlashni buzish ehtimolini kamaytiradi. Buning uchun ishga tushiring:

dd if=/dev/zero of=/dev/mapper/backup2

Yordamchi dastur bir necha soat ishlashi mumkin; jarayonni kuzatish uchun pv dan foydalaning:

pv -tpreb /dev/zero | dd of=/dev/mapper/backup2 bs=128M

Jarayon tugagach, biz qurilmani istalgan fayl tizimiga formatlashimiz mumkin. Masalan, uni ext4 da formatlaymiz:

mkfs.ext4 /dev/mapper/backup2

Ko'rib turganingizdek, barcha kriptosetup buyruqlari jismoniy bo'limga, qolgan disklar bilan ishlash buyruqlari esa virtual bo'limimizga qo'llaniladi.

Bo'limni o'rnatish

Endi siz faqat yaratilgan fayl tizimini o'rnatishingiz mumkin:

$ mount /dev/mapper/backup2 /backup2

Bo'limni o'chirish

Hamma narsa ishlaydi, lekin qurilmani qanday o'chirish va ma'lumotlarni himoya qilish. Buning uchun ishga tushiring:

cryptsetup luks Zaxirani yopish2

Qayta o'rnatish

LUKS Linux yordamida shifrlangan bo'lim bilan qayta ishlash uchun uni qayta ochishingiz kerak:

cryptsetup luksOpen /dev/sda6 backup2

Endi biz o'rnatishimiz mumkin:

mount /dev/mapper/backup2 /backup2

Fayl tizimining lukslarini tekshiring

Luks linux bilan bo'lim ochilgandan so'ng, bu bo'lim boshqalar kabi tizim tomonidan ishlanadi, siz shunchaki fsck yordam dasturidan foydalanishingiz mumkin:

sudo umount / backup2

$ fsck -vy /dev/mapper/backup2

$ mount /dev/mapper/backup2 /backu2

Parol iborasini o'zgartiring

Linux diskini shifrlash ma'lum bir parol bilan amalga oshiriladi, lekin siz uni o'zgartirishingiz mumkin. Bundan ham yaxshiroq, siz sakkiztagacha turli xil parollar yaratishingiz mumkin. O'zgartirish uchun quyidagi buyruqlarni bajaring. Avval LUKS sarlavhalarini zaxiralaymiz:

cryptsetup luksDump /dev/sda6

Keyin yangi kalit yarating:

kriptosetup luksAddKey /dev/sda6

Har qanday parolni kiriting:

Kalit uyasi uchun yangi parolni kiriting:
Parolni tasdiqlang:

Va eskisini o'chirib tashlang:

cryptsetup luksRemoveKey /dev/sda6

Endi siz eski parolni kiritishingiz kerak bo'ladi.

xulosalar

Hammasi shu, endi siz Linux-da bo'limni qanday shifrlashni bilasiz va barchasi qanday ishlashini tushunasiz. Bundan tashqari, LUKS algoritmidan foydalangan holda Linuxda diskni shifrlash o'rnatilgan tizimni to'liq shifrlash uchun keng imkoniyatlarni ochadi.

Taroziga soling:

• LUKS butun blokli qurilmani shifrlaydi va shuning uchun portativ qurilmalarning mazmunini himoya qilish uchun juda mos keladi. Mobil telefonlar, olinadigan media yoki qattiq disklar noutbuklar.
• Zaxira nusxalaringizni himoya qilish uchun serverlarda NAS dan foydalanishingiz mumkin
• AES-NI (Kengaytirilgan shifrlash standarti) bo'lgan Intel va AMD protsessorlari 2.6.32 dan boshlab Linux yadrosida dm-kriptga asoslangan shifrlash jarayonini tezlashtirishi mumkin bo'lgan buyruqlar to'plamiga ega.
• Almashtirish bo'limi bilan ham ishlaydi, shuning uchun tizza kompyuteringiz uyqu rejimidan yoki kutish rejimidan to'liq xavfsiz foydalanishi mumkin.