Як зашифрувати розділ за допомогою DM-Crypt LUKS

Ніхто не рятується від того, що вам доводиться шукати покращити безпеку нашого обладнання, наскільки це можливо, це як для настільних комп’ютерів, так і для ноутбуків, хоча у випадку з останніми це безпосередньо щось необхідне - особливо, якщо ми використовуємо їх для роботи, - оскільки факт їх перенесення з одного в інше інше місце збільшує шанси його втратити або викрасти у нас, і в обох випадках наша інформація може бути викрита, і наслідки цього будуть дуже серйозними.

Альтернатив у цьому сенсі небагато, і в цьому полягає хороша річ вільне програмне забезпечення загалом, хоча в даному випадку я хочу поговорити про DM-Crypt LUKS, рішення для шифрування дуже популярний протягом тривалого часу завдяки тому, що він інтегрований у ядро ​​як модуль - пропонує доступ до Crypto API ядро Linux- і запропонувати прозоре шифрування та можливість зіставлення пристроїв та розділів на рівнях віртуального блоку, що дозволяє шифрувати розділи, цілі жорсткі диски, томи RAID, логічні томи, файли або знімні диски.

Для початку нам потрібно мати вільний розділ (у моєму випадку / dev / sda4), тому, якщо це не так, нам доведеться створити новий розділ, використовуючи такий інструмент, як GParted. Отримавши вільний простір, ми почнемо з цього встановити cryptsetup - - якщо у нас більше немає цього інструменту, який, як правило, зазвичай входить за замовчуванням, але можливо, коли ми встановлюємо наш Ubuntu ми вибрали мінімальну установку:

# apt-get install cryptsetup

Тепер почнемо з ініціалізувати розділ що ми збираємось шифрувати, для якого ми використовуємо той вільний розділ, про який ми згадали раніше. Це крок, який також генерує початковий ключ, і хоча його назва, схоже, вказує на те, що розділ відформатований, що не відбувається, а просто готує його до роботи з шифруванням (у нашому випадку ми вибрали AES з розміром ключа 512 байт:

# cryptsetup –verbose –verbose –cipher aes-xts-plain64 –key-size 512 –hash sha512 –teriter-time 5000 –use-random luksFormat / dev / sda4

Ми отримаємо попереджувальне повідомлення, де ми отримаємо повідомлення про те, що вміст, який ми зберігаємо на даний момент / dev / sda4, і нас запитують, чи впевнені ми. Ми погоджуємося, пишучи ТАК, наприклад, такими великими літерами, а потім просимо ввести фразу LUKS, двічі, щоб переконатися, що помилок немає.

Тепер ми `` відкриваємо '' зашифрований контейнер, надаючи йому віртуальне ім'я, яке буде тим, з яким воно з'являється в системі (наприклад, коли ми виконуємо команду дф-х для візуалізації різних розділів, у нашому випадку ми побачимо це в / dev / mapper / encrypted):

# crytpsetup luksOpen / dev / sda4 зашифровано

Нас просять Клавіша LUKS що ми створили раніше, ми входимо в нього і готові. Тепер ми повинні створити файлову систему для цього зашифрованого розділу:

# mkfs.ext3 / dev / mapper / зашифрований

Наступним кроком є додати цей розділ до файлу / etc / crypttab, подібний до / etc / fstab, оскільки він відповідає за надання зашифрованих дисків під час запуску системи:

# cryto_test / dev / sda4 немає луків

Потім ми створюємо точку монтування цього зашифрованого розділу і додаємо всю цю інформацію у файл / etc / fstab, щоб у нас було все доступне при кожному перезавантаженні:

# mkdir / mnt / зашифровано

# nano / etc / fstab

Додавання наведеного нижче має бути чудовим, хоча ті, хто шукає найбільш персоналізованого, можуть поглянути на сторінки керівництва fstab (man fstab), де про це є багато інформації:

/ dev / mapper / encrypted / mnt / encrypted ext3 за замовчуванням 0 2

Тепер кожного разу, коли ми перезапускаємо систему, нам буде запропоновано ввести парольну фразу, і після цього зашифрований розділ буде розблокований, щоб ми могли мати його доступним.