Cách mã hóa phân vùng bằng DM-Crypt LUKS

Không ai trốn thoát mà bạn phải tìm kiếm cải thiện an ninh thiết bị của chúng tôi càng nhiều càng tốt, điều này cho cả máy tính để bàn và máy tính xách tay, mặc dù trong trường hợp sau, nó trực tiếp là thứ bắt buộc - đặc biệt nếu chúng tôi sử dụng chúng cho công việc - vì thực tế là mang chúng từ nơi này đến nơi khác làm tăng khả năng mất hoặc bị đánh cắp thông tin của chúng tôi và trong cả hai trường hợp, thông tin của chúng tôi có thể bị lộ và hậu quả của việc này sẽ rất nghiêm trọng.

Các lựa chọn thay thế theo nghĩa này là một số ít, và đó là điều tốt về phần mềm tự do nói chung, mặc dù trong trường hợp này tôi muốn nói về DM-Crypt LUKS, một giải pháp mã hóa rất phổ biến trong một thời gian dài nhờ vào thực tế là nó được tích hợp vào hạt nhân như một mô-đun - cung cấp quyền truy cập vào các API Crypto của nền tảng Linux- và đề nghị mã hóa minh bạch và khả năng ánh xạ các thiết bị và phân vùng ở các cấp khối ảo, do đó cho phép mã hóa phân vùng, toàn bộ ổ cứng, ổ RAID, ổ logic, tệp hoặc ổ đĩa di động.

Để bắt đầu chúng ta cần có một phân vùng miễn phí (trong trường hợp của tôi là / dev / sda4), vì vậy nếu không phải như vậy, chúng ta sẽ phải tạo một phân vùng mới bằng cách sử dụng một công cụ như GParted. Khi chúng tôi có dung lượng trống, chúng tôi sẽ bắt đầu với cài đặt cryptsetup nếu chúng tôi không còn có công cụ này nữa, công cụ này nói chung thường được bao gồm theo mặc định nhưng có lẽ khi chúng tôi cài đặt Ubuntu chúng tôi đã chọn cài đặt tối thiểu:

# apt-get cài đặt cryptsetup

Bây giờ hãy bắt đầu với khởi tạo phân vùng chúng ta sẽ làm gì mã hóa, mà chúng tôi sử dụng phân vùng miễn phí mà chúng tôi đã đề cập trước đó. Đây là bước cũng tạo ra khóa ban đầu và mặc dù tên của nó dường như chỉ ra rằng phân vùng được định dạng không xảy ra, nhưng chỉ cần chuẩn bị cho nó hoạt động với mã hóa (trong trường hợp của chúng tôi, chúng tôi đã chọn AES với kích thước khóa là 512 byte:

# cryptsetup –verbose –verbose –cipher aes-xts-trơn64 –key-size 512 –hash sha512 –iter-time 5000 –use-random luksFormat / dev / sda4

Chúng tôi sẽ nhận được một thông báo cảnh báo trong đó chúng tôi được thông báo rằng nội dung mà chúng tôi đã lưu trữ tại thời điểm này / dev / sda4, và chúng tôi được hỏi liệu chúng tôi có chắc chắn không. Chúng tôi đồng ý bằng cách viết CÓ, như thế này bằng chữ in hoa, và sau đó chúng tôi được yêu cầu nhập cụm từ LUKS, hai lần để đảm bảo không có lỗi.

Bây giờ chúng ta 'mở' vùng chứa được mã hóa, đồng thời đặt cho nó một tên ảo, tên này sẽ là tên xuất hiện trong hệ thống (ví dụ: khi chúng ta thực hiện lệnh df-h để trực quan hóa các phân vùng khác nhau, trong trường hợp của chúng tôi, chúng tôi sẽ thấy nó trong / dev / mapper / mã hóa):

# crytpsetup luksMở / dev / sda4 được mã hóa

Chúng tôi được hỏi Phím LUKS mà chúng tôi đã tạo trước đó, chúng tôi nhập nó và chúng tôi đã sẵn sàng. Bây giờ chúng ta phải tạo hệ thống tệp cho phân vùng được mã hóa này:

# mkfs.ext3 / dev / mapper / đã mã hóa

Bước tiếp theo là thêm phân vùng này vào tệp / etc / crypttab, tương tự như / etc / fstab vì nó chịu trách nhiệm cung cấp các ổ đĩa được mã hóa khi khởi động hệ thống:

# cryto_test / dev / sda4 không có luks

Sau đó, chúng tôi tạo điểm gắn kết của phân vùng được mã hóa này và thêm tất cả thông tin đó vào tệp / etc / fstab để chúng tôi có sẵn mọi thứ sau mỗi lần khởi động lại:

# mkdir / mnt / đã mã hóa

# nano / etc / fstab

Thêm những thứ sau sẽ ổn, mặc dù những người đang tìm kiếm những thứ được cá nhân hóa nhất có thể xem qua các trang fstab man (man fstab), nơi có rất nhiều thông tin về nó:

/ dev / mapper / mã hóa / mnt / mã hóa mặc định ext3 0 2

Bây giờ, mỗi khi khởi động lại hệ thống, chúng tôi sẽ được yêu cầu nhập cụm mật khẩu và sau khi làm như vậy, phân vùng được mã hóa sẽ được mở khóa để chúng tôi có thể sử dụng nó.