כיצד להצפין מחיצה עם DM-Crypt LUKS

Willy Klew

3 דקות

הגדרת קריפטה

איש לא בורח שאתה צריך לחפש לשפר את הביטחון של הציוד שלנו ככל האפשר, הן עבור מחשבים שולחניים והן של מחשבים ניידים, אם כי במקרה של האחרון זה הכרחי ישירות - במיוחד אם אנו משתמשים בהם לעבודה - מכיוון שהעובדה של לקיחתם מהמקום לשני מגדילה סיכויים לאבד אותו או לגנוב אותו, ובשני המקרים המידע שלנו יכול להיחשף וההשלכות של זה יהיו חמורות מאוד.

החלופות במובן זה הן מעטות, וזה הדבר הטוב תוכנה חופשית באופן כללי, אם כי במקרה זה אני רוצה לדבר עליו DM-Crypt LUKS, פתרון הצפנה מאוד פופולרי במשך זמן רב בזכות העובדה שהוא משולב בגרעין כמודול - מציע גישה ל- API של Crypto של ליבת לינוקס- ולהציע הצפנה שקופה ויכולת למפות מכשירים ומחיצות ברמות חסימה וירטואליות, ובכך מאפשר להצפין מחיצות, כוננים קשיחים שלמים, אמצעי אחסון RAID, אמצעי אחסון לוגיים, קבצים או כוננים נשלפים.

כדי להתחיל אנחנו צריכים יש מחיצה בחינם (במקרה שלי, / dev / sda4), אז אם זה לא המקרה נצטרך ליצור מחיצה חדשה באמצעות כלי כמו GParted. ברגע שיהיה לנו מקום פנוי אנחנו הולכים להתחיל איתו להתקין cryptsetup אם כבר אין לנו את הכלי הזה, שבדרך כלל נכלל כברירת מחדל, אך אולי כאשר אנו מתקינים את אובונטו בחרנו בהתקנה מינימלית:

# apt-get להתקין cryptsetup

עכשיו בואו נתחיל עם אתחל את המחיצה למה אנחנו הולכים להצפין, שעבורו אנו משתמשים באותה מחיצה חינמית שהזכרנו קודם. זהו שלב שיוצר גם את המפתח הראשוני, ולמרות ששמו נראה כמעצב שהמחיצה מעוצבת שאינה מתרחשת, אלא פשוט מכינה אותה לעבוד עם הצפנה (במקרה שלנו בחרנו AES עם גודל מפתח של 512 בתים:

# cryptsetup –verbose –verbose – encipher aes-xts-plain64 – key-size 512 – hash sha512 – time-time 5000 – use-random luksFormat / dev / sda4

נקבל הודעת אזהרה המודיעה לנו שהתוכן שאחסנו בשלב זה / dev / sda4, ונשאל אם אנחנו בטוחים. אנו מסכימים על ידי כתיבת YES, כך באותיות גדולות, ואז אנו מתבקשים להזין את הביטוי LUKS, פעמיים כדי לוודא שאין שגיאות.

כעת אנו 'פותחים' את המכולה המוצפנת, במקביל אנו נותנים לו שם וירטואלי, אשר יהיה זה שיופיע במערכת (למשל כאשר אנו מבצעים את הפקודה df-h כדי להציג את המחיצות השונות, במקרה שלנו נראה את זה ב- / dev / mapper / encrypted):

# crytpsetup luksOpen / dev / sda4 מוצפן

אנו מתבקשים מפתח LUKS שיצרנו בעבר, אנחנו נכנסים אליו ואנחנו מוכנים. כעת עלינו ליצור את מערכת הקבצים עבור מחיצה מוצפנת זו:

# mkfs.ext3 / dev / mapper / מוצפן

השלב הבא הוא ל הוסף מחיצה זו לקובץ / etc / crypttab, בדומה ל- / etc / fstab מכיוון שהוא אחראי לספק את הכוננים המוצפנים בעת אתחול המערכת:

# cryto_test / dev / sda4 none luks

לאחר מכן אנו יוצרים את נקודת ההרכבה של מחיצה מוצפנת זו ומוסיפים את כל המידע הזה לקובץ / etc / fstab כך שיהיה לנו הכל זמין בכל אתחול מחדש:

# mkdir / mnt / מוצפן

# nano / etc / fstab

הוספת הדברים הבאים צריכה להיות בסדר, אם כי מי שמחפש את המותאמים אישית ביותר יכול להעיף מבט בעמודי האיש fstab (man fstab) בהם יש מידע רב אודותיו:

/ dev / mapper / encrypted / mnt / מוצפן ext3 ברירות מחדל 0 2

כעת, בכל פעם שאנחנו מפעילים מחדש את המערכת נתבקש להזין את ביטוי הסיסמה, ואחרי שעושים זאת המחיצה המוצפנת תינעל כדי שנוכל להיות זמינה.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   חיימה דיג'ו
    hace 9 שנים

    תודה על המאמר שלך.
    יש לי בעיה, אני לא יודע אם זה קורה לעוד אנשים כמוני:

    אני ממלא אחר הצעדים שפירטת ואחרי שווידאתי שהוא מותקן אני מתחיל את התיק השני–>

    cryptsetup –verbose –verbose –cipher aes-xts-plain64 – key-size 512 – hash sha512 –iteriter time 5000 – use-random luksFormat / dev / sda4

    cryptsetup: פעולה לא ידועה

    אני משתמש בקובונטו 15.04. כל רעיון איך אפשר לפתור את זה.

    תודה

    תשובה לחיימה