Kif Issettja Sistemi ta' Fajls Encrypted u Skambju ta' Spazju billi tuża l-Għodda Cryptsetup fil-Linux - Parti 3
A LFCE (qosra għal Linux Foundation Certified Engineer) huwa mħarreġ u għandu l-kompetenza biex jinstalla, jimmaniġġja, u jsolvi l-problemi tas-servizzi tan-netwerk fis-sistemi Linux, u huwa responsabbli mill- disinn, implimentazzjoni u manutenzjoni kontinwa tal-arkitettura tas-sistema.
L-introduzzjoni tal-Programm ta' Ċertifikazzjoni tal-Fondazzjoni Linux (LFCE).
L-idea wara l-kriptaġġ hija li tippermetti lil persuni fdati biss li jkollhom aċċess għad-dejta sensittiva tiegħek u li tipproteġiha milli taqa 'f'idejn ħżiena f'każ ta' telf jew serq tal-magna/hard disk tiegħek.
F'termini sempliċi, ċavetta tintuża biex \lock aċċess għall-informazzjoni tiegħek, sabiex din issir disponibbli meta s-sistema tkun qed taħdem u tinfetaħ minn utent awtorizzat. Dan jimplika li jekk persuna tipprova teżamina l-kontenut tad-diska (plaggha mas-sistema tiegħu stess jew billi tibbotja l-magna b'LiveCD/DVD/USB), huwa jsib biss data li ma tinqarax minflok il-fajls attwali.
F'dan l-artikolu ser niddiskutu kif nistabbilixxu sistemi ta 'fajls encrypted b'dm-crypt (qosor għal device mapper u cryptographic), l-għodda standard ta' encryption fil-livell tal-kernel. Jekk jogħġbok innota li peress li dm-crypt hija għodda fil-livell ta' blokk, tista' tintuża biss biex tikkriptaġġ tagħmir sħaħ, diviżorji, jew tagħmir loop (mhux se jaħdem fuq fajls jew direttorji regolari).
Tħejjija ta' Drive/Partition/Loop Device għall-Encryption
Peress li aħna se nimsaħ id-dejta kollha preżenti fid-drajv magħżul tagħna (/dev/sdb), l-ewwelnett, jeħtieġ li nwettqu backup ta’ kwalunkwe fajl importanti li jinsab f’dik il-partizzjoni QABEL tkompli tkompli.
Imsaħ id-dejta kollha minn /dev/sdb. Hawnhekk se nużaw il-kmand dd, imma tista' tagħmel dan ukoll b'għodda oħra bħal shred. Sussegwentement, se noħolqu partizzjoni fuq dan l-apparat, /dev/sdb1, wara l-ispjegazzjoni fil-Parti 4 - Oħloq diviżorji u Filesystems f'Linux tas-serje LFCS.
# dd if=/dev/urandom of=/dev/sdb bs=4096
Qabel ma nipproċedu aktar, irridu niżguraw li l-qalba tagħna tkun ġiet ikkumpilata b'appoġġ għall-encryption:
# grep -i config_dm_crypt /boot/config-$(uname -r)
Kif deskritt fil-qosor fl-immaġini ta 'hawn fuq, il-modulu tal-kernel dm-crypt jeħtieġ li jitgħabba sabiex jiġi stabbilit l-encryption.
Cryptsetup hija interface ta' frontend għall-ħolqien, il-konfigurazzjoni, l-aċċess, u l-ġestjoni ta' sistemi ta' fajls encrypted bl-użu ta' dm-crypt.
# aptitude update && aptitude install cryptsetup [On Ubuntu] # yum update && yum install cryptsetup [On CentOS] # zypper refresh && zypper install cryptsetup [On openSUSE]
Il-mod operattiv default għal cryptsetup huwa LUKS (Linux Unified Key Setup) għalhekk aħna nżommu magħha. Nibdew billi nissettjaw il-partizzjoni LUKS u l-passphrase:
# cryptsetup -y luksFormat /dev/sdb1
Il-kmand t'hawn fuq imexxi cryptsetup b'parametri default, li jistgħu jiġu elenkati ma',
# cryptsetup --version
Jekk trid tibdel il-parametri cipher, hash, jew key, tista' tuża l-–cipher, < b>–hash, u –key-size bnadar, rispettivament, bil-valuri meħuda minn /proc/crypto.
Sussegwentement, irridu niftħu l-partizzjoni LUKS (se nkunu mħeġġa għall-passphrase li dħalna qabel). Jekk l-awtentikazzjoni tirnexxi, il-partizzjoni kriptata tagħna tkun disponibbli ġewwa /dev/mapper bl-isem speċifikat:
# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
Issa, aħna ser ifformattja l-partizzjoni bħala ext4.
# mkfs.ext4 /dev/mapper/my_encrypted_partition
u toħloq punt ta 'muntaġġ biex timmonta l-partizzjoni kriptata. Fl-aħħarnett, nistgħu rridu nikkonfermaw jekk l-operazzjoni tal-muntatura rnexxietx.
# mkdir /mnt/enc # mount /dev/mapper/my_encrypted_partition /mnt/enc # mount | grep partition
Meta tkun lest tikteb jew taqra mis-sistema tal-fajls kriptat tiegħek, sempliċement neħħiha
# umount /mnt/enc
u agħlaq il-partizzjoni LUKS billi tuża,
# cryptesetup luksClose my_encrypted_partition
Fl-aħħarnett, se niċċekkjaw jekk il-partizzjoni kriptata tagħna hijiex sigura:
1. Iftaħ il-partizzjoni LUKS
# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
2. Daħħal il-passphrase tiegħek
3. Immonta l-partizzjoni
# mount /dev/mapper/my_encrypted_partition /mnt/enc
4. Oħloq fajl finta ġewwa l-punt tal-muntatura.
# echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt
5. Ivverifika li tista' taċċessa l-fajl li għadek kif ħloqt.
# cat /mnt/enc/testfile.txt
6. Żarma s-sistema tal-fajls.
# umount /mnt/enc
7. Agħlaq il-partizzjoni LUKS.
# cryptsetup luksClose my_encrypted_partition
8. Ipprova mmunta l-partizzjoni bħala sistema ta 'fajls regolari. Għandu jindika żball.
# mount /dev/sdb1 /mnt/enc
Encryptin l-Ispazju Swap għal Aktar Sigurtà
Il-passphrase li daħħalt qabel biex tuża l-partizzjoni kriptata hija maħżuna fil-memorja RAM waqt li tkun miftuħa. Jekk xi ħadd jista 'jieħu idejh fuq din iċ-ċavetta, ikun jista' jiddeċifra d-data. Dan huwa speċjalment faċli li tagħmel fil-każ ta 'laptop, peress li waqt li tkun ibernat il-kontenut tar-RAM jinżammu fuq il-partizzjoni ta' tpartit.
Biex tevita li tħalli kopja taċ-ċavetta tiegħek aċċessibbli għal ħalliel, ikkriptja l-partizzjoni tal-iskambju segwi dawn il-passi:
1 Oħloq diviżorju biex jintuża bħala tpartit bid-daqs xieraq (/dev/sdd1 fil-każ tagħna) u kriptaha kif spjegat qabel. Issemmiha biss \tbiddel għall-konvenjenza.’
2.Issettjaha bħala tpartit u attivaha.
# mkswap /dev/mapper/swap # swapon /dev/mapper/swap
3. Sussegwentement, ibdel l-entrata korrispondenti f'/etc/fstab.
/dev/mapper/swap none swap sw 0 0
4. Fl-aħħarnett, editja /etc/crypttab u reboot.
swap /dev/sdd1 /dev/urandom swap
Ladarba s-sistema tkun spiċċat l-ibbutjar, tista' tivverifika l-istatus tal-ispazju ta' tpartit:
# cryptsetup status swap
Sommarju
F'dan l-artikolu esplorajna kif tikkodifika partizzjoni u tpartit spazju. B'din is-setup, id-dejta tiegħek għandha tkun konsiderevolment sigura. Ħossok liberu li tesperimenta u toqgħodx lura milli terġa' lura għandna jekk għandek mistoqsijiet jew kummenti. Uża l-formola hawn taħt - inkunu ferħanin nisimgħu mingħandek!