Jak zaszyfrować partycję za pomocą DM-Crypt LUKS

Nikt nie ucieka, którego musisz szukać poprawić bezpieczeństwo naszego sprzętu w miarę możliwości, zarówno w przypadku komputerów stacjonarnych, jak i laptopów, chociaż w przypadku tych drugich jest to wprost konieczne - zwłaszcza jeśli używamy ich do pracy - ponieważ przenoszenie ich z jednego miejsca na drugie zwiększa szanse na ich utratę lub kradzież, aw obu przypadkach nasze informacje mogą zostać ujawnione, a konsekwencje tego byłyby bardzo poważne.

W tym sensie alternatyw jest kilka i to jest dobre wolne oprogramowanie ogólnie, chociaż w tym przypadku chcę porozmawiać DM-Crypt LUKS, rozwiązanie szyfrujące bardzo popularny od dawna dzięki temu, że jest zintegrowany z jądrem jako moduł - oferujący dostęp do Crypto API jądro Linuksa- i oferta przejrzyste szyfrowanie i możliwość mapowania urządzeń i partycji na wirtualnych poziomach bloków, umożliwiając w ten sposób szyfruje partycje, całe dyski twarde, woluminy RAID, woluminy logiczne, pliki lub dyski wymienne.

Aby rozpocząć, potrzebujemy mieć wolną partycję (w moim przypadku / dev / sda4), więc jeśli tak nie jest, będziemy musieli utworzyć nową partycję za pomocą narzędzia takiego jak GParted. Kiedy będziemy mieć wolne miejsce, zaczniemy zainstaluj cryptsetup jeśli nie mamy już tego narzędzia, które zwykle jest dołączane domyślnie, ale być może podczas instalowania naszego Ubuntu zdecydowaliśmy się na minimalną instalację:

# apt-get install cryptsetup

Teraz zacznijmy od zainicjuj partycję co zamierzamy szyfrować, dla którego używamy tej bezpłatnej partycji, o której wspominaliśmy wcześniej. Jest to krok, który również generuje klucz początkowy i chociaż jego nazwa wydaje się wskazywać, że partycja jest sformatowana, to się nie dzieje, ale po prostu przygotowuje ją do pracy z szyfrowaniem (w naszym przypadku wybraliśmy AES z kluczem o rozmiarze 512 bajtów:

# cryptsetup –verbose –verbose –cipher aes-xts-plain64 –key-size 512 –hash sha512 –iter-time 5000 –use-random luksFormat / dev / sda4

Otrzymamy wiadomość ostrzegawczą, w której zostaniemy poinformowani, że zawartość, którą w tym momencie zapisaliśmy w formacie / Dev / sda4i jesteśmy pytani, czy jesteśmy pewni. Zgadzamy się, pisząc TAK, tak wielkimi literami, a następnie jesteśmy proszeni o dwukrotne wpisanie frazy LUKS, aby upewnić się, że nie ma błędów.

Teraz 'otwieramy' zaszyfrowany kontener, nadając mu wirtualną nazwę, która będzie tą, z jaką pojawi się w systemie (np. Gdy wykonamy polecenie df -h aby wyświetlić różne partycje, w naszym przypadku zobaczymy to w / dev / mapper / encrypted):

# crytpsetup luksOpen / dev / sda4 zaszyfrowane

Jesteśmy proszeni o Klucz LUKS które stworzyliśmy wcześniej, wchodzimy do niego i jesteśmy gotowi. Teraz musimy stworzyć system plików dla tej zaszyfrowanej partycji:

# mkfs.ext3 / dev / mapper / encrypted

Następnym krokiem jest dodaj tę partycję do pliku / etc / crypttab, podobny do / etc / fstab, ponieważ jest odpowiedzialny za dostarczanie zaszyfrowanych dysków podczas uruchamiania systemu:

# cryto_test / dev / sda4 none luks

Następnie tworzymy punkt montowania tej zaszyfrowanej partycji i dodajemy wszystkie te informacje do pliku / etc / fstab, abyśmy mieli wszystko dostępne przy każdym ponownym uruchomieniu:

# mkdir / mnt / encrypted

# nano / etc / fstab

Dodanie następujących elementów powinno wystarczyć, chociaż osoby poszukujące najbardziej spersonalizowanych mogą rzucić okiem na strony podręcznika fstab (man fstab), na których jest dużo informacji na jego temat:

/ dev / mapper / encrypted / mnt / encrypted ext3 defaults 0 2

Teraz za każdym razem, gdy ponownie uruchomimy system, zostaniemy poproszeni o wprowadzenie hasła, a po wykonaniu tej czynności zaszyfrowana partycja zostanie odblokowana, abyśmy mogli ją mieć.