Cara mengenkripsi partisi dengan DM-Crypt LUKS

Tidak ada yang lolos yang harus Anda cari meningkatkan keamanan peralatan kami sejauh mungkin, baik untuk komputer desktop dan laptop, meskipun dalam kasus yang terakhir ini sangat penting secara langsung -terutama jika kami menggunakannya untuk bekerja- karena fakta membawa mereka dari satu tempat ke tempat lain meningkatkan kemungkinan kehilangan atau dicuri dari kami, dan dalam kedua kasus informasi kami dapat terungkap dan konsekuensinya akan sangat serius.

Alternatif dalam pengertian ini sedikit, dan itulah hal yang baik FOSS secara umum, meskipun dalam hal ini saya ingin membicarakannya DM-Crypt LUKS, solusi enkripsi sangat populer untuk waktu yang lama berkat fakta bahwa itu terintegrasi ke dalam kernel sebagai modul - menawarkan akses ke Crypto API dari kernel linux- dan menawarkan Enkripsi transparan dan kemampuan untuk memetakan perangkat dan partisi di level blok virtual, sehingga memungkinkan mengenkripsi partisi, seluruh hard drive, volume RAID, volume logis, file, atau drive yang dapat dilepas.

Untuk memulai kita perlu memiliki partisi gratis (dalam kasus saya, / dev / sda4), jadi jika bukan itu masalahnya, kita harus membuat partisi baru menggunakan alat seperti GParted. Setelah kita memiliki ruang kosong, kita akan mulai instal cryptsetup jika kita tidak lagi memiliki alat ini, yang secara umum biasanya disertakan secara default tetapi mungkin saat kita menginstal Ubuntu kami memilih instalasi minimal:

# apt-get instal cryptsetup

Sekarang mari kita mulai dengan menginisialisasi partisi apa yang akan kita lakukan mengenkripsi, yang kami gunakan partisi gratis yang kami sebutkan sebelumnya. Ini adalah langkah yang juga menghasilkan kunci awal, dan meskipun namanya tampaknya menunjukkan bahwa partisi diformat itu tidak terjadi, tetapi hanya mempersiapkannya untuk bekerja dengan enkripsi (dalam kasus kami, kami telah memilih untuk AES dengan ukuran kunci 512 byte:

# cryptsetup –verbose –verbose –cipher aes-xts-plain64 –key-size 512 –hash sha512 –iter-time 5000 – use-random luksFormat / dev / sda4

Kami akan menerima pesan peringatan di mana kami diberitahu bahwa konten yang telah kami simpan saat ini di / Dev / sda4, dan kami ditanyai apakah kami yakin. Kami setuju dengan menulis YA, seperti ini dengan huruf kapital, kemudian kami diminta untuk memasukkan frase LUKS, dua kali untuk memastikan tidak ada kesalahan.

Sekarang kita 'membuka' wadah terenkripsi, pada saat yang sama kita memberinya nama virtual, yang akan menjadi salah satu yang tampak bagi kita di sistem (misalnya ketika kita menjalankan perintah df -h untuk melihat partisi yang berbeda, dalam kasus kami, kami akan melihatnya di / dev / mapper / encrypted):

# crytpsetup luksOpen / dev / sda4 dienkripsi

Kami diminta untuk Kunci LUKS yang sudah kita buat sebelumnya, kita masukkan dan kita siapkan. Sekarang kita harus membuat sistem file untuk partisi terenkripsi ini:

# mkfs.ext3 / dev / mapper / terenkripsi

Langkah selanjutnya adalah tambahkan partisi ini ke file / etc / crypttab, mirip dengan / etc / fstab karena bertanggung jawab untuk menyediakan drive terenkripsi saat startup sistem:

# cryto_test / dev / sda4 none luks

Kemudian kami membuat titik mount dari partisi terenkripsi ini dan menambahkan semua informasi itu ke file / etc / fstab sehingga kami memiliki semua yang tersedia dengan setiap reboot:

# mkdir / mnt / terenkripsi

# nano / etc / fstab

Menambahkan berikut ini seharusnya tidak masalah, meskipun mereka yang mencari yang paling terpersonalisasi dapat melihat halaman manual fstab (man fstab) di mana terdapat banyak informasi tentangnya:

/ dev / mapper / encrypted / mnt / ext3 terenkripsi default 0 2

Sekarang, setiap kali kita merestart sistem kita akan diminta untuk memasukkan kata sandi, dan setelah itu partisi terenkripsi akan dibuka kuncinya sehingga kita dapat membuatnya tersedia.