لائحة الطعام
مجاني
تحقق في
الرئيسية  /  الملاحين / بيانات التشفير في Linux. تشفير القرص في تشفير قرص Linux في Linux Debian

بيانات التشفير في Linux. تشفير القرص في تشفير قرص Linux في Linux Debian

مقدمة

تخزين البيانات في شكل مشفر هو وسيلة ممتازة لحماية المعلومات بحيث لا تصل إلى المهاجم. لحماية الملكية الفكرية، تم تطوير أسرار الإنتاج أو المعلومات الشخصية أنظمة التشفير. يمكن تنفيذها بأشكال مختلفة، تقدم مستويات مختلفة من الوظائف واحتواء أي عدد من الخيارات للنهج مجموعة واسعة من قذائف التشغيل والإعلام. اليوم، عدد طرق التشفير الحديثة والخوارزميات والحلول أكبر بكثير من ذي قبل. نعم، ونوعية التنمية أفضل بكثير. علاوة على ذلك، هناك العديد من الحلول القابلة للتطبيق في السوق بناء على فتح الرمزما يسمح لك بتحقيق مستوى جيد من الحماية دون إنفاق كميات كبيرة من المال.

في ديسمبر 2005، أجرى معهد PonMontime بين مختلف المتخصصين في مجال استطلاع أمن المعلومات بشأن التشفير وحماية البيانات. من بين 6298 تم الاستطلاع فقط 4 في المائة من المجيبين استخدم التشفير عبر المؤسسة. من نفس المسح، تم الكشف عن ثلاثة أسباب رئيسية للمعارضة المستمرة لقواعد التشفير الرسمية:

  • 69٪ من المستطلعين مشاكل في الأداء؛
  • ذكر 44٪ من المجيبين صعوبات في التنفيذ؛
  • تحدث 25٪ من المستطلعين حول سعر مرتفع لتنفيذ خوارزميات التشفير.

في العديد من البلدان، تتعرض المنظمات إلى العتلات متعددة الضغط لزيادة "الشفافية" لعملهم. ولكن من ناحية أخرى، فهي مسؤولة عن عدم توافق سلامة المعلومات السرية. لذلك كان، على وجه الخصوص، في حالة مخازن الأحذية DSW في الولايات المتحدة الأمريكية).

قدمت لجنة التجارة الفيدرالية الأمريكية دعوى قضائية ضد DSW، حيث تم ذكرها في انعدام الأمن على المستوى المناسب لحماية المعلومات وعدم كفاية التدابير المناسبة لبناء أنظمة كافية لتقييد الوصول إلى هذه البيانات، وكذلك غير مرضية الحماية اتصالات الشبكة بين المحل الأول أجهزة الكمبيوتر المكتبيةوبعد في حالة DSW، كانت حوالي 1.4 مليون بطاقة ائتمان وحوالي 96 ألف حساب فحص قد توفر للمجرمين. وقبل أن تحقق الاتفاقات بين الشركة و FTK، تمكنت هذه الحسابات بالفعل من استخدامها بشكل غير قانوني.

في الوقت الحاضر، تتوفر حلول تشفير البيانات والبرمجيات والهندسة على الإطلاق. يستخدم مفتاح USB، الذي يحصل على يوم اليوم، بشكل متزايد بدلا من البطاقات الذكية. هذا الأخير، بدوره، غالبا ما يمكن العثور عليه، لأن معظم أجهزة الكمبيوتر المحمولة تحتوي على قارئ البطاقة الذكية.

يبدأ المستهلكون بشكل متزايد في التفكير في الأخطار المتعلقة بسرقة المعلومات الشخصية والبيانات حول المالك وأرقام بطاقات الائتمان. وتستثبط هذه المخاوف فقط من خلال الرسائل حول مبيعات الكتلة المعلومات المسروقة لهذا النوع من المؤسسات التي تكليف بهذه البيانات القيمة.

يبدأ المستهلكون أيضا في إدراك أنه من المهم حماية المعلومات الشخصية ليس فقط على الإنترنت، ولكن أيضا خارج الشبكة. في النهاية، لا يحدث الوصول غير المرغوب فيه إلى بياناتك دائما من خلال الشبكة. هذه المشكلة ذات صلة خاصة بالنسبة لأولئك الذين يمكن لأجهزة الكمبيوتر المحمولة غير المحمية التي يمكنهم الحصول عليها إما في أيدي موظفي الخدمة لتغيير التكوين، أو إلى الخدمة للإصلاح.

تشفير الأسئلة الفنية

هناك حاجة إلى وظائف التشفير لجميع اللاعبين المتعددين الحديثة أنظمة الكمبيوترحيث البيانات والعمليات ومعلومات المستخدم مقسمة منطقيا. لتحديد صحة المستخدم في نظام مماثل، يتم دمج تسجيلات تسجيل الدخول وكلمات المرور مقارنة مع أنظمة التجزئة المتوفرة بالفعل في النظام (إما يتم استخدام التجزئة لفك تشفير مفتاح الجلسة، والذي يتم فحصه بعد ذلك مقابل الصلاحية). من أجل منع المشاهدة غير المصرح بها للمعلومات الشخصية داخل الحاويات المشفرة، يمكن تخزين الملفات الفردية أو الأقسام بأكملها. لكن بروتوكولات الشبكة، على سبيل المثال، SSL \\ TLS و IPSec، تسمح، إذا لزم الأمر، تعزيز حماية التشفير أجهزة مختلفة (/ dev / عشوائي، / dev / urandom، وما إلى ذلك) بمساعدة الخوارزميات المعيارية العاملة مع الأساسية نظام التشغيل.

مهمة أي تكنولوجيا تشفير القرص هي الحماية من الوصول غير المرغوب فيه للحصول على معلومات شخصية وفي انخفاض في أضرار من فقدان الملكية الفكرية نتيجة للوصول غير القانوني أو سرقة الجهاز المادي. التشغيل نظام لينكس مع إصدار Core 2.6.4 أدخلت بنية تحتية تشفير محسنة تحمي البيانات الشخصية ومتينة بشكل موثوق على العديد من المستويات البرمجياتوبعد هناك كمعايير تخزين كاملة في شكل مشفرة على مستوى منخفض، مثل إعداد مفتاح Linux الموحد (LUKS) والمنامين على مستوى المستخدم، على سبيل المثال، أنظمة ملفات Encfs و Cryptofs، والتي، بدورها، تعتمد على مساحة سريعة نظام الملفات (الصمامات) تحت لينكس. بالطبع، يكون أي نظام تشفير مستقر للقضاء بقدر كلمات المرور ومفاتيح الوصول إليها. هناك ثلاثة مستويات رئيسية تستخدم تقنيات التشفير:

  • مستوى الملف I. نظام الملفات (تشفير التصحيح، حاوية مع الملفات)؛
  • مستوى كتلة منخفضة (حاوية مع نظام الملفات)؛
  • مستوى الحديد (أجهزة التشفير المتخصصة).

يعد التشفير في مستوى الملف طريقة سهلة للغاية للاستخدام عادة لتبادل الملفات. يستخدم التشفير من حالة الحالة أنه مناسب لإرسال عدد معقول من الملفات. بالنسبة لأنظمة الملفات متعددة اللاعبين، تحدث مشكلة إدارة المفاتيح، حيث يتم تشفير مجلدات وملفات المستخدمين المختلفين بمفاتيح مختلفة. بالطبع، يمكنك استخدام مفتاح واحد، ولكن بعد ذلك نحصل على تقنية تشبه تشفير القرص. كما هو الحال دائما، المستخدم مسؤول عن اختيار كلمة المرور الأكثر موثوقية.

تعمل تطبيقات التشفير الأكثر تقدما على مستوى نظام الملفات وتتبع الملفات في وقت الإبداع أو التسجيل أو التعديلات. هذه الطريقة توفر دفاع أفضل معلومات شخصية بأي طريقة لاستخدامها، إنها جيدة ومع عدد كبير من الملفات. بالإضافة إلى ذلك، ليس من الضروري العناية بالتطبيقات التي لا تعرف كيفية تشفير الملفات بشكل منفصل.

بعض تقنيات التشفير مجانية ومدرجة في العديد من التوزيعات. بالمناسبة، أحدث الإصدارات تم تجهيز Windows بنظام ملفات خاصة مع دعم تشفير نظام ملفات مشفرة (EFS). يدعم Fedora عددا من خيارات التشفير، بما في ذلك LUKS (يمكنك تمكين دعم LUKS وتحت Windows إذا كنت تستخدم أنظمة الملفات الدهنية أو FAT32 وتطبيق Freeotfe). وفي حزم الإضافات الإضافية متاحة الصمامات والمثنين. يمكن أيضا تثبيت Cryptofs عن طريق التنزيل من موقع رسمي. .

تتكون البنية التحتية للصمامات من وحدة نمطية محملة من Kernel ومكتبة مساحة المستخدمين، والتي تعمل كأساس لنظام ملفات التشفير ونظام الملفات المشفرة (ENCFS). وفقا لهيكلها، لا يؤثر الصمامات على شفرة المصدر الأساسية في المصدر وفي نفس الوقت يوفر مرونة عالية لتنفيذ العديد من الإضافات المثيرة للاهتمام، مثل نظام ملفات نظام ملفات SHAST (SSHFS) الآمنة (SSHFS).

يخزن Cryptofs البيانات المشفرة في الهيكل المعتاد للدليل مفصولة إلى قسمين رئيسيين: معلومات النص (قائمة الملفات والمجلدات والأرشيفات) والبيانات المشفرة بالفعل. يمكنك إعادة تثبيت الدليل المشفر باستخدام المفتاح. عند استخدام Cryptofs لا تحتاج إلى امتيازات خاصة، فإن الإعداد ليس صعبا أيضا.

نظام الملفات Encfs هو أيضا تطبيق للمستخدمين بناء على مكتبة الصمامات، وتوفير الحماية من سرقة المعلومات والتشغيل على مبدأ تشفير الترقيع. ورثت هيكلها من الإصدارات المبكرة، ولكن مع التحسينات في كل من الشكل والوظائف. يمكن توسيع نظام ملف Encfs ديناميكيا لتلبية متطلبات المستخدم المتزايدة. يمكن تشفير الملفات في مختلف المعلمات (على سبيل المثال، عند تغيير المحتوى، حسب السمات، إلخ). في الواقع، يمكن أن يكون التخزين الأساسي ل ENCFS أي شيء: من صورة ISO إلى قسم شبكة أو حتى نظام ملفات موزعة.

تعمل كلا من أنظمة الملفات من خلال مبدأ نهاية إلى نهاية، ويمكن استخدامها على رأس أنظمة الملفات الأخرى والجراجات المنطقية، على سبيل المثال، أعلى نظام ملفات سجل أو موسع، والتي يمكن توزيعها عبر وسائط مادية متعددة باستخدام مدير قسم منطقي (LVM). يوضح التوضيح التوضيحي التالي كيف يعمل نظام الملفات هذا: في هذا الرسم البياني، يتم الإشارة إلى الدليل المرئي / جبل (مستوى بيانات Encfs غير المشفرة).

تراكب مستخدمي المستخدمين يظهر تفاعل الصمامات والمثنين.

تحت مستوى تجريد نظام الملفات، هناك مخططات من التشفير المنخفض المستوى (الكتلة)، على غرار تلك المستخدمة في LUKS. تعمل مخططات هذا النوع فقط على وحدات القرص، لا تنتبه إلى تجريد نظام الملفات ذات المستويات العالية. يمكن استخدام مثل هذه المخططات لملفات الترحيلات للحاويات المختلفة أو حتى للحصول على وسائط مادية عدد صحيح، بما في ذلك التشفير الكامل لقسم الجذر.


يعمل LUKS دون معرفة دقيقة بتنسيق نظام الملفات.

تم تصميم LUKS وفقا لإعداد مفتاح موثوق به # 1 (TKS1) ومتوافق مع Windows، إذا كنت تستخدم أي تنسيق نظام ملفات مشترك (FAT / FAT32). النظام مناسب تماما ل مستخدمي الأجهزة المحمولة، يدعم إطلاق ومراجعة حراسة خصوصية مفاتيح جنو (GPG) مجانا تماما. LUKS قادرة على أكثر من أي تطبيق آخر الموصوف به في هذه المقالة. علاوة على ذلك، يدعم LUKS عددا كبيرا من الحلول لإنشاء وإدارة الأجهزة مع تشفير LUKS.

يتلقى نظام الملفات Cryptofs كلمة مرور فقط، في حين أن الوسائط المشفرة مع LUKS تعمل مع أي مفاتيح PGP (خصوصية جيدة جدا) مع أي كلمة مرور كلمة المرور. يستخدم Encfs أيضا كلمة مرور لحماية الملفات، لكنها تفتح المفتاح المخزن في الدليل الجذر المناسب.

الاختلافات بين التطبيقات المتعلقة بمستويات منخفضة ومستخدمين هي أفضل ملحوظ في الاختبارات العملية. بمستوى منخفض، يمكن أن تكون البيانات "شفافة" نقلها إلى نظام الملفات، والتي تدير عمليات التسجيل والقراءة أكثر كفاءة.

اختبار التكوين

أصبحت منصة الاختبار الخاصة بنا كمبيوتر محمول Dell Latitude C610، وهو قديم قليلا، ولكنه لا يزال ممثل ذكي من تقنيات عينة 2002. عند التغذية من البطارية، يقلل C610 من تواتر المعالج إلى 733 ميغاهيرتز. لذلك، أثناء الاختبار، لم نطفئ الكمبيوتر المحمول من المخرج. يوضح الجدول التالي تكوين الكمبيوتر المحمول

تم الحصول على نتائج الاختبار باستخدام نظام الملفات Ext3 ضمن Linux. ربما ext3 بالمقارنة مع أنظمة ملفات السجل الأخرى ليست الأكثر إنتاجية. لكن التجارب S. مجموعة رقيقة تنسيق النظام، حجم كتلة، معلمات التخزين، إلخ. ليست مهام اختبارنا، لأنها لا تفي بمعايير الإعداد والتكوين السهل. أذكر أن الغرض من المقال هو إظهار كيفية السماح لك حلول التشفير بموجب Linux ببساطة، بفعالية وتصفح مستودعات البيانات المحمية بشكل رائع.

التركيب

تتوفر LUKS، الصمامات والمثنين في توزيع فيدورا، بحيث لا تحتاج جهود إضافية. لكن cryptofs سوف تضطر إلى التنزيل بشكل منفصل.

تجميع Cryptofs من التعليمات البرمجية المصدر أمر بسيط للغاية. فك الأرشيف، قم بتشغيل البرنامج النصي للتكوين في الدليل النهائي، ثم قم بتشغيل، كما هو موضح في الرسم التوضيحي. يحتوي ملف التكوين على أربعة معلمات: تشفير التشفير، خوارزمية ملف تعريف الرسالة (رسائل هضم الخوارزمية)، حجم كتلة (فك تشفير الملح).


عملية تثبيت Cryptofs بسيطة.

يتكون الإعداد من تحديد مسارات الدلائل الأولية والنهائية (للبيانات المشفرة وغير المشفرة). ثم يمكنك تشغيل الأمر Cryptofs، كما هو موضح في الشكل التالي.


إعداد cryptofs.

ثم يمكنك تشغيل الأمر Mount، وبعد ذلك يمكنك رؤية التقسيم المثبت.

تأكد أولا لتنزيل وحدة النواة Fuse (Modprobe Fuse). يقوم Encfs بتبسيط عملية إنشاء حاوية مشفرة، كما يمكن رؤيتها في الرسم التوضيحي التالي.


إذا خفضت عملية إعداد المفاتيح (التي هي محددة لكل موقف)، فيمكن تكوين LUKS بسهولة كما هو موضح أدناه.


اختبارات وتحليل الأداء

الاختلافات في الأداء بين التثبيت والتثبيت "الأصلي" في بيئة LUKS المشفرة أمر ضئيل للغاية. مع مراعاة الفرق الملحوظ بشكل خاص في حلول المستخدمين. للحصول على تقييم بديل لأداء أنظمة الملفات المشفرة، استخدمنا IOZONE. بالنسبة إلى الاختبارات، يتم استخدام التسجيلات من 4 كيلو بايت إلى 16 ميغابايت، يتغير حجم الملف من 64 كيلو بايت إلى 512 ميغابايت، ويتم تحديد النتيجة في KRIB / S.

استنتاج

على الأقل، حيث يتم استخدام LUKS، لا يمكنك التفكير في الأداء. على الرغم من ذلك، بالطبع، فإن بعض فقدان الأداء ناتج عن تشفير البيانات "الشفاف". نظام Luks سهل وسهل التثبيت، ويمكنك استخدامه في Linux وتحت Windows.

من المحتمل أن يتعين على مستخدمي الشركات مواجهة القيود المتعلقة بسياسات الشركة. غالبا ما يحظرون الحلول بناء على شفرة مفتوحة المصدر أو حظر بعض التطبيقات. بالإضافة إلى ذلك، في بعض الأحيان عليك أن تأخذ في الاعتبار قيود الاستيراد / التصدير على تقنيات التشفير المتعلقة بمتانة الكود، أو تتطلب قسم تكنولوجيا المعلومات الدعم عبر الهاتف من مزود الحلول، والذي يسمح لك بالنسيان ل Luks و Encfs و Cryptofs. على أي حال، LUKS هو حل ممتاز إذا كانت هذه المشاكل لا تزعجك. خيار جيد بالنسبة للشركات الصغيرة أو للمستخدمين المنزليين.

ولكن يجب أن نتذكر أن تشفير البيانات ليس باناسيا. نظرا لأن التشفير شفافة، يمكن لأي برنامج طروادة يعمل نيابة عن المستخدم الوصول إلى البيانات المشفرة.

رأي الرأي

Cryptofs و Encfs - تطبيقات المستخدمين. كما شرحنا في وقت سابق، تختلف بساطة التصميم والتنفيذ، لكن عليها أن تدفع مقابل الأداء والفرص. هذا واضح بشكل خاص بالمقارنة مع LUKS. لا يعمل فقط بشكل كبير بشكل كبير، ولكن أيضا يدعم مفاتيح PGP واحدة أو أكثر ويمكن استخدامها في القسم بأكمله.

تعد حاويات المستخدمين مهمة، بادئ ذي بدء، للمستخدمين الذين يرغبون في حماية المعلومات الشخصية في بيئة متعددة اللاعبين. والذين يحتاجون إلى حماية بياناتهم حتى لا يستطيع المسؤول الوصول إلى موارد الأجهزة أو البرامج. بالإضافة إلى الأداء والدعم بين المنصات، يتم دمج LUKS بشكل مثالي مع أنظمة التحكم في مفتاح Gnome و PGP. وسهولة الاستخدام اليومي لأقسام LUKS المشفرة مثيرة للإعجاب. بالمناسبة، يدعم Encfs وحدة المصادقة القابلة للتوصيل (PAM) تحت Linux في البيئات المعنية.

ضع في اعتبارك أن مؤلف هذا العمل يخبر عن طرق أقسام التشفير من القرص، والذي يستخدم نفسه، مع.

لينكس

هذا الاستخدام الدليل Linux DM-Crypt (مخطط الجهاز.) على النواة 2.6 وبعد سنقوم بتشفير القسم / dev / sdc1، يمكن أن يكون أي قسم أو قرص أو USB أو ملف تم إنشاؤه بواسطة losetup.وبعد هنا سوف نستخدم / dev / loop0، نظرة. مخطط الجهاز. يستخدم تسمية لتحديد قسم في هذا المثال sDC1.ولكن يمكن أن يكون أي خط آخر.

تشفير أقسام القرص باستخدام LUKS

luks. من عند dm crypt. من المناسب جدا تشفير أقسام القرص، فهو يتيح لك الحصول على العديد من كلمات المرور لقسم واحد وكذلك تغييرها بسهولة. ماذا يمكنك التحقق من أي استخدام متاح luks.، يكتب: cryptsetup - help.إذا كان الأمر كذلك luks. لم يظهر شيء، اقرأ أدناه. " dM-crypt دون luks"للحصول على بداية، قم بإنشاء قسم، إذا لزم الأمر fDISK / DEV / SDC.

كيفية إنشاء قسم مشفرة

# DD إذا \u003d / dev / urandom of \u003d / dev / sdc1 # اختياري. فقط بالنسبة لبارانويكوف # cryptsetup -y luksformat / dev / sdc1 # سوف يدمر جميع البيانات على sDC1. # cryptsetup luksopen / dev / sdc1 sdc1 # mkfs.ext3 / dev / mapper / sdc1 # سيتم إنشاء نظام الملفات ext3. # mount -t ext3 / dev / mapper / sdc1 / mnt # umount / mnt # cryptsetup luksclose sdc1
وهم
# cryptsetup luksopen / dev / sdc1 sdc1 # mount -t ext3 / dev / mapper / sdc1 / mnt
إلغاء تحميل
# Umount / mnt # cryptsetup luksclose sdc1

dM-crypt دون luks

# cryptsetup -y إنشاء SDC1 / dev / sdc1 # أو أي قسم آخر، اكتب / dev / loop0 # dmsetup ls. # تحقق، سوف تظهر: sDC1. (254, 0) # mkfs.ext3 / dev / mapper / sdc1 # فقط إذا فعلت لأول مرة! # mount -t ext3 / dev / mapper / sdc1 / mnt # umount / mnt / # cryptsetup إزالة SDC1 # افصل القسم المشفر اجعل نفس الشيء، (بدون إنشاء FS)، مهما كان إعادة توصيل القسم. عند إدخال كلمة مرور غير صحيحة، لن يتم تنفيذ الأمر Mount. في هذه الحالة، ببساطة حذف الشاشة. sDC1. (cryptSetup إزالة SDC1.) وإنشاء واحدة جديدة.

freebsd.

بضع وحدات شعبية لأقراص التشفير، فهي كذلك gBDE. و جيلي.. جيلي. أكثر سرعة لأنه يستخدم تسريع الأجهزة. انظر FreeBSD كتيب الفصل 18.6 للحصول على وصف أكثر تفصيلا. للعمل، جيلي. يجب تحميلها كوحدة Kernel، أو مدمجها في مرحلة التجميع. خيارات جهاز Geom_eli Crypto # أو تحميل كوحدة kernel: # صدى "geom_eli_load \u003d" نعم "" \u003e\u003e /boot/Loader.conf # أو kldload geom_eli

استخدام كلمة المرور والمفتاح

يستخدم المؤلف هذه الإعدادات لتشفير الأقسام النموذجية، ويستخدم كلمة مرور ومفتاح للتشفير " المفتاح الرئيسي. - المفتاح الرئيسي. "مهما كان القسم المشفر، فستحتاج إلى كلمة مرور ومفتاح / root/Ad1.key.. "المفتاح الرئيسي."يتم تخزينها في القسم وغير المرئي. المثال التالي هو نموذجي ل صورة USB أو ملف.

إنشاء قسم مشفر

# DD إذا \u003d / dev / عشوائي من \u003d / root / ad1.key bs \u003d 64 عدد \u003d 1 # هذا مفتاح تشفير المفتاح الرئيسي # جيلي init -s 4096 -k / root/ad1.key / dev / ad1 # -S 8192 و موافق للأقراص # جيلي إرفاق -k /root/ad1.key / dev / ad1 # لا يخلق النسخ الاحتياطي / root/AD1.KEY # DD IF \u003d / dev / عشوائي \u003d / dev / ad1.eli bs \u003d 1m # اختياري ويأخذ الكثير من الوقت # Newfs /dev/ad1.eli # إنشاء نظام الملفات # mount /dev/ad1.eli / mnt # تصاعد القسم المشفرة
يربط
# جيلي إرفاق -k /root/ad1.key / dev / ad1 # fsck -ny-t ffs /dev/ad1.eli # إذا كانت هناك شكوك، تحقق من نظام الملفات # mount /dev/ad1.eli / mnt
فصل.
يتم إجراء عملية إلغاء الاتصال تلقائيا عند إيقاف تشغيله. # Umount / mnt # geli detach /dev/ad1.eli
/ الخ / fstab
يمكن تكوين تركيب القسم المشفهر من خلال / الخ / fstabوبعد سيتم طلب كلمة المرور عند التحميل. # Grep Geli /etc/rc.conf geli_devices \u003d "ad1" geli_ad1_flags \u003d "- k / root/ad1.key" # Grep geli / etc / fstab /dev/ad1.eli / الصفحة الرئيسية / UFS خاصة RW 0 0 0

فقط عن طريق كلمة المرور

هذا هو أكثر طريقة ملائمة لتشفير محرك الأقراص أو الصورة المستندة إلى الملف، يتم طلب كلمة المرور فقط. في هذه الحالة، لا داعي للقلق بشأن الملفات الرئيسية. يشبه الإجراء ما ورد أعلاه، باستثناء إنشاء ملفات رئيسية. ساحر حجم 1 جيجابايت، تم إنشاؤه من الملف / cryptedfile.وبعد # DD إذا \u003d / dev / zero of \u003d / cryptedfile bs \u003d 1m عدد \u003d 1000 # إنشاء ملف 1GB # mdconfig-at vnode -f / cryptedfile # geli init / dev / md0 # التشفير فقط بكلمة مرور # جيلي إرفاق / dev / md0 # newfs -u -m 0 /dev/md0.eli # mount /dev/md0.eli / mnt # umount /dev/md0.eli # geli detach md0.eli الآن يمكن تعيين هذه الصورة الآن إلى سيارة أخرى، فقط دخول كلمة المرور. # mdconfig-at vnode -f / cryptedfile # geli إرفاق / dev / md0 # mount /dev/md0.eli / mnt

الأمن والسرية مهم جدا بالنسبة لأولئك الذين يخزنون بيانات مهمة على الكمبيوتر. الكمبيوتر المنزلي الخاص بك آمن، ولكن مع جهاز كمبيوتر محمول أو أجهزة محمولة أخرى، يختلف الوضع كثيرا. إذا كنت ترتدي جهاز الكمبيوتر المحمول الخاص بك معك في كل مكان تقريبا، فيمكن للأشخاص غير المصرح لهم الوصول، فإن السؤال ينشأ - كيفية حماية بياناتك من تدخل شخص آخر. من الهجمات الجسدية حيث يمكن لكل رغبات محاولة الحصول على بيانات من محرك أقراص USB أو قرص ثابت كمبيوتر محمول ببساطة عن طريق اختيار جهاز أو في حالة وجود جهاز كمبيوتر محمول، وسحب القرص الثابت وتوصيله بنظام تشغيل آخر.

العديد من الشركات وحتى مستخدمين بسيطين استخدم تشفير القرص في Linux لحماية المعلومات السرية، مثل: معلومات العميل والملفات ومعلومات الاتصال وأكثر من ذلك بكثير. في نظام التشغيل Linux، يتم دعم العديد من الطرق التشفير لحماية الأقسام والدليل الفردي أو القرص الصلب الكامل بالكامل. جميع البيانات، في أي من هذه الطرق، يتم تشفيرها تلقائيا وفزعت في الطيران.

التشفير في مستوى نظام الملفات:

  • 1. ecryptfs. - هذا هو نظام ملفات الملفات التشفير. يخزن البيانات الوصفية التشفير لكل ملف ملف منفصلوبالتالي، يمكن نسخ الملفات بين أجهزة الكمبيوتر. سيتم فك الضغط بنجاح إذا كان لديك مفتاح. يستخدم هذا الحل على نطاق واسع لتنفيذ دليل الصفحة الرئيسية المشفرة، على سبيل المثال، في أوبونتو. أيضا Chromeos تضمين هذه الخوارزميات عند استخدامها أجهزة الشبكة لتخزين البيانات (NAS).
  • 2. Encfs. - يوفر نظام ملفات مشفرة في مساحة المستخدم. إنه يعمل دون أي امتيازات إضافية ويستخدم مكتبة الصمامات ووحدة kernel لتوفير واجهة نظام الملفات. Encfs هو برنامج مجاني ويمتد تحت ترخيص GPL.

كتلة التشفير على مستوى الجهاز:

  • حلقة AES. - نظام ملفات سريع وشفاف، بالإضافة إلى حزمة لتشفير قسم الترحيل في Linux. لم يتغير قانون المصدر للبرنامج وقتا طويلا. وهي تعمل مع Kernels 4.x، 3.x، 2.2، 2.0.
  • truecrypt. - هذا حل مجاني مفتوح المصدر لقرص التشفير في أنظمة التشغيل Windows 7 / Vista / XP / XP / Mac OS X، وكذلك في Linux.
  • dM-Crypt + Luks - DM-Crypt هو نظام فرعي شفاف لتشفير القرص في النواة 2.6 والإصدارات الأحدث. تشفير مدعوم للأقراص بأكملها، وسائط الوسائط القابلة للإزالة، والأقسام، وحدات تخزين RAID، والبرامج، وحدات التخزين المنطقية والملفات.

في هذا الدليل، سننظر إلى تشفير القرص الثابت على Linux باستخدام خوارزمية Linux Unified Setup-On-Disk-disk-disk (Luks).

كيف يعمل Luks؟

Luks (Linux Unified Key Setup - بروتوكول تشفير الكتلة. لكننا نفهم فهم كيفية عملها، تحتاج إلى تحميلها للتعامل مع التقنيات الأخرى المستخدمة في هذه الطريقة.

لإجراء تشفير قرص Linux، يتم استخدام وحدة Kernel Kernel DM-Crypt. تتيح لك هذه الوحدة إنشاء جهاز كتلة افتراضية في دليل / dev / mapper مع نظام ملفات شفافة ومستخدم مع التشفير. في الواقع، تكمن جميع البيانات على القسم الفعلي المشفرة. إذا حاول المستخدم كتابة البيانات إلى جهاز افتراضي، فهي مشفرة على الطيران وتسجيلها على القرص، عند القراءة من جهاز ظاهري، يتم إجراء عملية عكسية - يتم فك تشفير البيانات من القرص الفعلي ونقلها إلى افتح الفيديو عبر القرص الظاهري المستعمل. عادة ما يتم استخدام طريقة AES للتشفير، لأن معظم المعالجات الحديثة محسنة تحتها. من المهم ملاحظة أنه يمكنك تشفير الأقسام والأقراص فقط، ولكن أيضا الملفات العادية عن طريق إنشاء نظام ملفات فيها والاتصال كجهاز حلقة.

تحدد خوارزمية LUKS الإجراءات وما هي التي سيتم تنفيذها أثناء العمل مع وسائط مشفرة. للعمل مع LUKS ووحدة Crypt DM استخدم الأداة المساعدة CryptSetup. سننظر إلى ذلك.

فائدة cryptsetup.

ستسهل الأداة المساعدة CryptSetup تسهيل تشفير قسم Linux باستخدام وحدة Crypt DM. دعونا تثبيته أولا.

في دبيان أو أوبونتو، استخدم هذا الأمر لهذا:

aPT - الحصول على تثبيت cryptsetup

في التوزيعات القائمة على القبعة الحمراء، ستبدو مثل هذا:

yum تثبيت cryptsetup-luks

بناء جملة Start-Up

خيارات تشغيل خيارات التشغيل CryptSetup

النظر في العمليات الأساسية التي يمكن القيام بها باستخدام هذه الأداة المساعدة:

  • luksformat. - إنشاء قسم مشفير LUKS Linux
  • luksopen. - قم بتوصيل الجهاز الظاهري (تحتاج المفتاح)
  • luksclose. - أغلق الجهاز الظاهري LUKS Linux
  • luksaddey. - إضافة مفتاح التشفير
  • luksremovey. - حذف مفتاح التشفير
  • luksuuid. - إظهار قسم UUID
  • lukdump. - إنشاء نسخة احتياطية من رؤوس LUKS

تعتمد معلمات التشغيل على العملية نفسها، وعادة ما تكون هناك جهاز فعلي تحتاج إلى إجراء إجراء أو افتراضي أو كليهما. ليس كل شيء غير واضح، ولكن في الممارسة العملية، أعتقد أنك سوف تتعامل مع كل شيء.

تشفير قرص Linux

يتم تمرير النظرية، جميع الأدوات جاهزة. الآن النظر في تشفير قسم Linux. دعنا نتحول إلى إعداد القرص الثابت. يرجى ملاحظة أنه سيحذف جميع البيانات من القرص أو التقسيم الذي ستشفيره. لذلك إذا كانت هناك بيانات مهمة، فمن الأفضل نسخها إلى مكان أكثر موثوقية.

إنشاء قسم

في هذا المثال، سنقوم بتشفير قسم / DEV / SDA6، ولكن بدلا من ذلك، يمكنك استخدام قرص ثابت بأكمله أو ملف واحد فقط مليء بأصفار الأصفار. إنشاء قسم مشفير:

cryptsetup -y -v luksformat / dev / sda6

تحذير!
========
سيؤدي هذا إلى الكتابة فوق البيانات على / dev / sda6 لا رجعة فيه.

هل أنت واثق؟ (نوع الأحرف الكبيرة نعم): نعم
أدخل عبارة مرور LUKS:
تحقق من عبارة المرور:
أمر ناجح.

سيؤدي هذا الأمر إلى تهيئة القسم، وسيقوم بتعيين مفتاح التهيئة وكلمة المرور. حدد كلمة المرور هذه لعدم نسيانها لاحقا.

قم بتنفيذ مثل هذا الأمر لفتح القسم الذي تم إنشاؤه حديثا باستخدام وحدة DM-Crypt في / dev / mapper، فستحتاج إلى إدخال كلمة مرور يتم فيها تنفيذ تشفير LUKS Linux:

أدخل عبارة المرور ل / dev / sda6

يمكنك الآن رؤية جهاز افتراضي جديد / DEV / MAPPER / Backup2 تم إنشاؤه باستخدام الأمر LuksFormat:

ls -l / dev / mapper / backup2

لرؤية حالة الجهاز، اتبع:

cryptsetup -v حالة النسخ الاحتياطي 2

/ dev / mapper / backup2 نشط.
النوع: LUKS1.
التشفير: AES-CBC-ESSIV: SHA256
Keysize: 256 بت
جهاز: / dev / sda6
الإزاحة: 4096 قطاعات
الحجم: 419426304 القطاعات
الوضع: قراءة / الكتابة
أمر ناجح.

ومع الأمر التالي، يمكنك النسخ الاحتياطي لرؤوس LUKS فقط في حالة:

cryptsetup luksdump / dev / sda6

حسنا، يمكنك أن تقول القسم جاهز. وما هو الأكثر إثارة للاهتمام، يمكنك الآن استخدامها بنفس الطريقة مثل أي قسم منتظم آخر في دليل / Dev. يمكن تهيئته باستخدام الأدوات المساعدة القياسية أو تسجيل البيانات الموجودة عليه أو تغيير أو التحقق من نظام الملفات و T D. لا يمكنك تغيير حجمه فقط. وهذا هو، كل شيء شفاف تماما، كما ذكر في بداية المقال.

قسم التنسيق

دعونا تنسيق القرص لبدء التنسيق. بالنسبة للموثوقية، لمحو جميع البيانات التي كانت موجودة في هذا المكان من قبل، إعادة تشغيل قسم Linux Linux المشفهر لدينا. سيؤدي ذلك إلى تقليل احتمالية اختراق التشفير، من خلال زيادة عدد المعلومات العشوائية. للقيام بذلك، اتبع:

dD IF \u003d / dev / zero of \u003d / dev / mapper / backup2

قد تستغرق الأداة المساعدة العمل عدة ساعات لتكون قادرا على مراقبة العملية، واستخدام PV:

pV -TPREB / DEV / ZERO | DD من \u003d / dev / mapper / backup2 bs \u003d 128m

عند اكتمال العملية، يمكننا تنسيق الجهاز بأي نظام ملفات. على سبيل المثال، التنسيق في Ext4:

mkfs.ext4 / dev / mapper / backup2

كما ترون، تنطبق جميع أوامر CryptSetup على القسم الفعلي، في حين أن الأوامر الأخرى للعمل مع الأقراص - إلى الظاهري.

قسم التركيب

الآن يمكنك تحميل فقط أن نظام الملفات المنشأ:

$ جبل / dev / mapper / backup2 / backup2

تعطيل القسم

كل شيء يعمل، ولكن كيفية تعطيل الجهاز وحماية البيانات. للقيام بذلك، اتبع:

cryptsetup luksclose backup2.

جبل متكرر

للحصول على فرصة للعمل مرة أخرى مع قسم مشفرة باستخدام LUKS Linux، يجب عليك فتحه مرة أخرى:

cryptsetup luksopen / dev / sda6 backup2

الآن يمكننا جبل:

جبل / dev / mapper / backup2 / backup2

تحقق نظام ملفات LUKS

نظرا لأن فتح التقسيم باستخدام LUKS Linux، ينظر إلى هذا القسم من قبل النظام، مثل الآخرين، يمكنك ببساطة استخدام الأداة المساعدة FSCK:

sudo umount / backup2

$ fsck -vy / dev / mapper / backup2

$ جبل / dev / mapper / backup2 / backu2

تغيير عبارة كلمة مرور LUKS

يتم تنفيذ تشفير قرص Linux مع عبارة كلمة مرور محددة، ولكن يمكنك تغييره. أكثر من ذلك، يمكنك إنشاء ما يصل إلى ثمانية عبارات كلمة مرور مختلفة. للتغيير باتباع الأوامر التالية. أولا، قم بعمل نسخة احتياطية من رؤوس LUKS:

cryptsetup luksdump / dev / sda6

ثم قم بإنشاء مفتاح جديد:

cryptsetup luksaddkey / dev / sda6

أدخل أي عبارة مرور:

أدخل عبارة مرور جديدة عن فتحة المفاتيح:
تحقق من عبارة المرور:

وحذف القديم:

cryptsetup luksremovey / dev / sda6

الآن عليك تقديم كلمة مرور قديمة أخرى.

الاستنتاجات

هذا كل ما تعرفه الآن كيفية تشفير القسم في Linux، وكذلك فهم كيف يعمل كل شيء. بالإضافة إلى ذلك، يفتح تشفير الأقراص في Linux وفقا لخوارزمية LUKS الفرص الكبيرة للتشفير الكامل للنظام المثبت.

الايجابيات

  • LUKS تشفير جميع أجهزة الكتلة، وبالتالي تماما مناسبة لحماية المحتويات أجهزة محمولة، مثل هاتف خليويناقلات قابلة للإزالة أو محركات الأقراص الصلبة أجهزة الكمبيوتر المحمولة.
  • يمكنك استخدام خوادم NAS لحماية النسخ الاحتياطية.
  • لدى معالجات Intel و AMD مع AES-NI (معيار التشفير المتقدمة) مجموعة من الأوامر التي يمكن أن تسرع عملية التشفير المستندة إلى DM-Crypt في Kernel Linux بدءا من 2.6.32.
  • إنه يعمل بما في ذلك قسم الترحيل، لذلك يمكن لأجهزة الكمبيوتر المحمول استخدام وظيفة وضع السكون، أو السبات آمن تماما.

اليوم، أصبح تخزين البيانات المهمة في النموذج المفتوح أكثر خطورة. وليس حتى الكثير بسبب المراقبة الحكومية (يريدون - سوف يجدون، وماذا يشكو، وهكذا) كم من أولئك الذين يريدون هذه البيانات خطف. من حيث المبدأ، هناك العديد من الطرق لحماية المعلومات، ولكن سيتم وصف وسائل التشفير في المقال.


على عكس بعض أنظمة التشغيل الأخرى، فإن لينكس لديه العديد من الوسائل لحماية معلومات التشفير - من تشفير مراسلات البريد قبل تشفير الملفات وحظر الأجهزة. نحن مهتمون بالتشفير على مستوى أنظمة الملفات والأجهزة والملفات وحظرها. أولا يجب عليك معرفة ما هو الفرق. يفترض التشفير في مستوى نظام الملفات وجود طبقة بين نظام الملفات الرئيسية (ما لم يكن، بالطبع، لا يدعم نظام الملفات نفسه التشفير) والمستخدم.

ميزة هذا النوع من التشفير هو أن مفاتيح جميع المستخدمين مختلفة. عدم وجود - إذا قمت بتمكين تشفير اسم الملفات، فسوف ينخفض \u200b\u200bطول الاسم الصحيح، بالإضافة إلى ذلك، يمكن للمستخدم حفظ الملف إلى قرص آخر، والذي يتسابق تلقائيا الفائدة. وواحدة أخرى ولكن - حتى لو تم تمكين تشفير الاسم، ستبقى الملصقات المؤقتة هي نفسها. تحدث أجهزة كتلة التشفير عند مستوى أقل، ضمن نظام الملفات. في الوقت نفسه، لا يعرف نظام الملفات نفسه، بطبيعة الحال، أنه في الحجم المشفهر.

مزايا هذه الطريقة تعكس أوجه القصور السابقة. عدم وجود حقيقة أنه في كل مرة تقوم فيها بتنزيل / جبل أدخل كلمة المرور. الافتقار الثاني هو أنه إذا كان في وقت الفترة، سيحصل المهاجم على الوصول إلى الملفات الموجودة على Cryptocon
TONINER، ذهب كل شيء - الكتابة. هذا هو بالضبط ما الحماية ضد الهجمات دون اتصال. بالإضافة إلى ذلك، في الغالبية المطلقة لحالات الحفاظ على Cryptocontainer في السحابة، سيتعين عليها أن تملأها بالكامل.

ستصف المقالة تكوين الطرق التالية لحماية Crypto:
dM-Crypt / Luks - إنشاء Cryptocontainer باستخدام جهاز Mapper و Cryptoapi Kernel؛
ecryptfs. - التشفير على مستوى نظام الملفات؛
Encfs. - نفس الشيء كما هو موضح أعلاه، ولكن لا يتطلب تحميل وحدات kernel.

DM-Crypt / Luks
هناك نوعان من إعدادات DM-Crypt - عادي و LUKS. الفرق هو أنه في حالة استخدام LUKS في بداية Cryptotoma، هناك بيانات تعريفية، مما يتيح لك استخدام مفاتيح متعددة وتغييرها. في الوقت نفسه، يعرض وجود عنوان مماثل في بعض الحالات في حد ذاته - ومع ذلك، في معظم هذه الحالات، سيكون من المساومة ودرجة عالية من الانتروبيا. قم بتحديد Crypt DM عادي مع ملف رئيسي وعبارة كلمة مرور على النحو التالي كيفية تكوين مجموعة من حجم Crypt DM عادي مشفر باستخدام ملف رئيسي، بدوره موجود في حاوية LUKS. لتبدأ، من الضروري أن تقرر بالضبط كيفية وضع الأقسام. هناك ثلاثة خيارات رئيسية:
فقط حجم التشفير؛
أول تشفير، ثم فوقها LVM؛
أول تشفير، ثم غارة، ثم LVM.

وجميع أنواع المجموعات. دعونا نحاول الخيار الثاني. بادئ ذي بدء، قم بإنشاء حاوية LUKS لتخزين ملف رئيسي لاستخدام هذا الملف مع عبارة أساسية. في هذه الحالة، يتم تقليل احتمالية حجم تحليل التشفير باستخدام Crypted DM-Crypt:

# DD إذا \u003d / dev / zero of \u003d / root / key.luks bs \u003d 512 عدد \u003d 2057

# cryptsetup - الحمولة الحمولة \u003d 1 luksformat / root/key.luks

# cryptsetup luksopen / root/key.luks cryptokey

# DD إذا \u003d / dev / urandom of \u003d / dev / mapper / cryptokey

يقوم الأمر الأول بإعداد ملف الحاوية، والثاني ينشئ هذه الحاوية، والتوصل الثالث، والرابع ينشئ المعلومات الأساسية. تجدر الإشارة إلى أن خيار التحميل \u003d Lign-Paymoice \u003d 1 مطلوب بحيث لا يقتصر حجم Metadata Luks 4096 512-BYTE، ولكن فقط 2056. وبالتالي، تبقى 512 بايت على المعلومات الرئيسية نفسها.
ثم انتقل إلى إنشاء Cryptotoma. في هذه المرحلة، في الإرادة، يمكنك أيضا ملء القرص ببيانات عشوائية زائفة تجعل من الصعب تحليل التشفير إذا كان ذلك كذلك. ثم يمكنك إنشاء cryptot. يبدو أن الفريق لهذا كل هذا (بشكل طبيعي، في حالات أخرى قد تختلف معفيات، لذلك عليك أن تكون منتبه):

# cryptsetup - criphiphipher \u003d serpent-xts-plain64 - protectet \u003d 0 - ملف مفتاح \u003d / dev / mapper / cryptokey - حجم \u003d 512 فتح - eype \u003d عادي / dev / disk / id-id / id-id / id-id / ata -VBOX_HARDDISK_VB05ADEBE-F25E8D59 Crypto0


إذا لزم الأمر، فأنت بحاجة إلى تكرار الأمر نفسه وعلى الأجهزة الأخرى التي يلزم التشفير. ثم قم بإنشاء Cryptotomas LVM و FS عليه:

إنشاء ملف / إلخ / initramfs-أدوات / السنانير / Cryptokeys تقريبا المحتوى التالي (الجزء الأداة المساعدة من البرنامج النصي):

وملف / الخ / initramfs- أدوات / البرامج النصية / المحلي الأعلى / cryptokeys (جزء الخدمة مرة أخرى
نفس خفض):

# <...>

modprobe - b dm_crypt

في حين! (/ sbin / cryptsetup luksopen / etc / crypto / key. luks cryptokey

/ dev / disk / by-id / ata - vbox_harddisk_vb05eadebe - f25e8d59 crypto0

&& / sbin / cryptsetup Plainopen - مفتاح - ملف \u003d / dev / mapper / cryptokey

/ dev / disk / by-id / ata - vbox_harddisk_vbc2414841 - cfeccde5 crypto1

&& / sbin / cryptsetup luksclose cryptokey

) فعل.

صدى "حاول مرة أخرى. وبعد وبعد "

منجز

يجب تنفيذ هذين الملفين. ثم قم بإنشاء initrd:

# التحديث - initramfs -u -k all -v

عند إعادة التشغيل التالي، سيتم طلب كلمة المرور لحاوية LUKS. في حالة استخدام Cryster DM-Crypt، هناك احتمال آخر - طبقة سفلية مشتركة، والتي تتيح لك القيام بشيء مثل أحجام TrueCrypt المخفية. من الأسهل إعطاء مثال:

# cryptsetup - chippiphipher \u003d serpent-xts-plain64 - posset \u003d 0 - حجم \u003d 2097152 - شاريد افتح - نوع \u003d عادي / dev / disk / by-id / ata-vbox_harddisk_vbcda8398f-f1f1deec crypto

# cryptsetup - chipphiphipher \u003d serpent-xts-plain64 - supphet \u003d size \u003d 2097152 - الحجم \u003d

يتم الإشارة إلى الحجم والإزاحة في كتل 512 بايت.


ميزات LUKS الممتدة
دعونا نرى أيضا في الاستخدام الموسع للحاويات LUKS. وتشمل هذه مفاتيح تحويل. هذا ضروري عند المساس أو إنشاء سياسات التغيير الرئيسية. ستكون الخطوة الأولى لهذا إنشاء نسخة احتياطية من رأس الحاويات. اذا الجميع
عادة، بعد تغيير المفتاح، يمكن تدميرها. نحن نفعل ذلك، مفهومة، على قسم غير مقصود:

أخيرا، أضف مفتاح جديد إلى النظام:

النظر في وإجراءات استعادة وحدات تخزين LUKS. أسهل الخيار، بالطبع، عندما تكون هناك نسخة من الرأس. في هذه الحالة، مطلوب أمر واحد فقط لاستعادة:

أطول غرزة مستمرة ستكون المفتاح الرئيسي. يجب نسخها إلى الملف على وحدة التخزين غير المحددة ثم تحويلها إلى الشكل الثنائي (قبل أن يتم ضمان ذلك هذا الملف لا
رموز نهاية السلسلة):

Encfs.
دعونا نرى كيفية تكوين Encfs لتثبيت تلقائيا عند تسجيل الدخول. لتبدأ، سنضع الحزم اللازمة:

عند الإعداد في وضع الخبير، سيتم تحديد عدد من الأسئلة: نوع التشفير (AES و BWOFish فقط)، وحجم المفتاح، وحجم الكتلة، وكيفية تشفير أسماء الملفات - تشفير الكتلة (التي تخفي تماما اسم الملف ، بما في ذلك الطول)، والتدفق (الذي تشفير بأكبر طوله، وهو أمر مناسب في بعض الأحيان إذا كانت الأسماء طويلة جدا وعند استخدام تشفير كتلة، فهناك احتمال كبير إلى حد ما يتجاوز الطول الأقصى) أو لن تكون هناك كلمة مرور في كل شيء ... في النهاية، سيتم طلب كلمة المرور، يجب أن تتطابق مع الإدخال المستخدم، وإلا فإن السيارات لن يعمل.

تحتاج إلى تحرير الملف /etc/security/pam_encfs.conf:

وملف /etc/fuse.conf:

وإضافة المستخدم إلى مجموعة Fuse:

$ sudo usermod - a - g fuse $ المستخدم

بعد إدخال تسجيل الدخول، يمكن استخدام الدليل الخاص كتخزين للبيانات الشخصية. ومع ذلك، تجدر الإشارة إلى أن المراجعة كشفت عن مشاكل السلامة (خطيرة بما فيه الكفاية)، ولهذا السبب هذا النظام يوصى بشدة باستخدام بيانات مهمة حقا لتخزينها.

Ecryptfs.
من المعروف أن Ecryptfs يستخدم في Ubuntu كأداة افتراضية لحماية الأدلة المنزلية. دعونا نرى كيف يعمل، سنقوم بإنشاء دليل مشفر يدويا. تثبيت الحزم:

creationcryptfs.

وأنا جبل FS (يتم إنشاء كل البيانات الوصفية اللازمة عند تركيبها لأول مرة):

سودو جبل - تي Ecryptfs / الصفحة الرئيسية / ROM /. سر / المنزل / روم / سر

سيتم طلب عبارة كلمة المرور (مرة واحدة فقط، لم يتم تنفيذ إعادة الدخول، والتي لا تبدو حلا جيدة للغاية، بالنظر إلى أنه يجب أن يكون طويلا)، ثم نوع التشفير (AES، Blokfish، 3Des، Twofish، CAST6 سيتم طلب المفتاح CAST5) المفتاح، يتم تحديد السؤال أو السماح أو تعطيل الملفات غير المصنعة في الدليل مع مشفرة أو تشفير إذا كانت أسماء الملفات ... وسوف تطلب النهائي، هل ترغب حقا في تقويض وتوفير التوقيع إلى ملف معين. السؤال غير غبي للغاية لأنه قد يبدو أولا: في هذا البرنامج، في غياب التوقيع، لا توجد إمكانية التمييز بين كلمة المرور الصحيحة من الخطأ.

تشفير الدليل الرئيسي للمستخدم

خلال الإطلاق الأول، قد تحتاج إلى إكمال العديد من العمليات. بعد التشفير، يجب أن تذهب على الفور إلى المستخدم، وسيتم اقتراح كتابة أو طباعة عبارة كلمة مرور تم إنشاؤها للتشفير والحماية المحمية، بدورها، كلمة مرور المستخدم. هذا ضروري للاسترداد في حالة وضع الطوارئ.


تحذير لتذكر عبارة كلمة المرور

دعونا نرى كيفية استعادة ذلك. لنفترض أن عبارة كلمة المرور غير مسجلة والاسترداد يأتي مع قرص مضغوط مباشر. من المفهوم أن FS يزرع. انتقل إلى الصفحة الرئيسية / .ecryptfs / rom / .cryptfs الدليل والنوع:

dM-تحقق
تم تصميم وحدة DM-Verify للتحقق من سلامة أجهزة Block. يتم التحقق من وجود شجرة التجزئة، حيث "أوراق" - عدد الكتل في الكتل، و "الفروع" - مجموعات التجزئة من مجموعات "الأوراق". وبالتالي، للتحقق من جهاز Block (سواء كان القسم أو القرص)، فإنه يكفي للتحقق من المجموع الاختباري فقط.
يتم استخدام هذه الآلية (المرتبطة بتوقيع رقمي) في بعض أجهزة Android للحماية من تعديل أقسام النظام، وكذلك في Google Chromium OS.

استنتاج
يحتوي Linux على الكثير من المال لحماية معلومات التشفير. من الأموال الثلاثة الموصوفة، واحدة على الأقل موجودة في جميع توزيعات Linux الحديثة. ولكن ماذا تختار؟
dM-Crypt / Luks يستحق تطبيقه في الحالات التي يكون فيها من الممكن تعطيل حجم المشفرة بسرعة ومتى النسخ الاحتياطي إما ليست هناك حاجة أو تصنيفها بطرق أخرى. في هذه الحالة، هذا الحل أكثر بفعالية، خاصة مع حقيقة أنه من الممكن تشفير سلسلة من التعشيش التعسفي والنوع (على سبيل المثال، AES-TOFish-AES) - الجنة الحقيقية
للجنانيين.
ecryptfs. مناسبة في الحالات التي يجب حفظ البيانات المشفرة فيها في مكان ما - على سبيل المثال، في السحابة. يوفر مزيج موثوق للغاية (على الرغم من وجود متغير 128 بت يستخدم افتراضيا، فمن الممكن تقليل مقاومة التشفير إلى بتينتين) وللمستخدم النهائي شفافا.
Encfs. الرجل العجوز يبلغ من العمر عشر سنوات، بناء على المزيد من العمل القديم. حتى الآن، لا ينصح به للاستخدام بسبب ثقوب الأمان المحتملة، ولكن يمكن استخدامها كمنصة عرضية لحماية بيانات الهراء في الغيوم.

إذا كنت بحاجة إلى استخدام هذه الأموال، يجب أن تتذكر دائما أن الحماية يجب أن تكون معقدة.

: - الروسية

اكتمال التطوير النشط للصفحة

إذا كان لديك شيء تضيفه، ثم تكمل الأقسام بمعلومات جديدة. يمكن الخلط بين الأخطاء المطبعية وأخطاء لدينا في المقالة بجرأة، ليست هناك حاجة للإبلاغ عنها إلى البريد، يرجى الامتثال لأسلوب هذه الصفحة واستخدام فواصل الأقسام (خطوط رمادية ذات سماكة مختلفة).

تشفير البيانات في دبيان

يبدو الكثيرون أنك لا تحتاج إلى تشفير بياناتك. ومع ذلك ب. الحياة اليومية غالبا ما نواجه هذه المواقف مثل "محرك أقراص فلاش" أو "كمبيوتر محمول يتم تسليمه لإصلاح ITP. إذا تم تشفير بياناتك، لا يمكنك القلق بشأنها على الإطلاق: لن يقوم أحد بنشرها على الإنترنت، أو لا يستفيد من طريقة أخرى.

التشفير باستخدام CryptSetup.

تثبيت المكونات اللازمة:

# apt- الحصول على تثبيت cryptsetup

بناء الجملة القياسية

/ dev / sda2وبعد نقدم الفريق:

# cryptsetup إنشاء sda2_crypt / dev / sda2

سيؤدي هذا الأمر إلى إنشاء اتصال مشفر على القرص. في الكتالوجات / dev / mapper سيظهر جهاز جديد بالاسم الذي طلبناه: / dev / mapper / sda2_cryptعند الإشارة إلى ما نستخدم الوصول المشفرة إلى القرص. في حالة اسم luks سيكون / dev / mapper / sda2_crypt

إذا كان الملف يحتوي بالفعل على نظام ملفات وتريد حفظ البيانات عليه، فيجب عليك إجراء تشفيرها للاستخدام اللاحق:

# DD IF \u003d / dev / sda2 من \u003d / dev / mapper / sda2_crypt

إذا تم إنشاؤها قرص جديد في قسم فارغ، يمكنك تنسيقه:

# mkfs.ext3 / dev / mapper / sda2_crypt

بعد ذلك، سيكون من الممكن تركيب هذا القرص في أي مكان:

# جبل / dev / mapper / sda2_crypt / المسار / إلى / جبل / نقطة

تحقق من سلامة البيانات (كالعادة، فمن الأفضل استخدامها فقط):

# fsck.ext3 / dev / mapper / sda2_crypt

وحتى فك التشفير مرة أخرى إذا لم نعد نريد استخدام التشفير:

# DD IF \u003d / dev / mapper / sda2_crypt من \u003d / dev / sda2

بناء الجملة luks.

يمكن إجراء الإجراءات المذكورة أعلاه وفقا لمعيار LUKS

تهيئة القسم:

cryptsetup luksformat / dev / sda2

الاتصال بالنظام:

cryptsetup luksopen / dev / sda2 sda2_crypt

صيغة:

MKFS.EXT4 -V -L البيانات / dev / mapper / sda2_crypt

تتعدد:

جبل / dev / mapper / sda2_crypt / mnt / البيانات

يمكن أن يكون القسم تعطيل يدويا حول النظام.

cryptsetup luksclose sda2_crypt.

اتصال عند بدء التشغيل

لهذا الغرض، يتم استخدام الملف crypttab..

لقرصنا بكت في ذلك السطر التالي:

Nano / etc / etc / crypttab # name mapper جهاز الإعدادات الرئيسية / الخيارات # مع القياسية SDA2_CRYPT / DEV / SDA2 Syntax None AES-CBC-عادي: SHA256 # و \\ أو \\ أو تحت LUKS SDA2_CRYPT / DEV / SDA2 None Luks

بشكل افتراضي، يتم استخدام كلمة المرور التي أدخلت تشفير المستخدم. وبالتالي، في كل مرة تقوم فيها بتنزيل نظام الكمبيوتر الخاص بك سيسأل في كل مرة يكون لديك كلمة مرور لتوصيل كل قسم مشفرة. حتى لو لم يتم توضيح هذه الأقسام في Fstab.

إذا كنا نريد أن يتناسب يدويا، ثم أضف الخيار noauto. في حقل "المعلمات / الخيارات".

توصيل القسم المشفر يدويا وفقا للبيانات من / إلخ / Crypttab

cryptdisks_start msda2_crypt.

وإغلاق مع FS قبل إلغاء تحميله.

cryptdisks_stop sda2_crypt.

لتثبيت FS تلقائيا على القسم المشفر المتصل، أضف سلسلة إلى / الخ / fstab

/ dev / mapper / sda2_crypt / mnt / data ext4 الافتراضي 0 0

العمل مع مفاتيح في luks

يدعم قسم LUKS 8 مفاتيح مختلفة، يتم وضع كل منها في فتحةها.

دعونا نرى قائمة المفاتيح المستخدمة

cryptsetup luksdump / dev / sda2

يمكن LUKS استخدام أنواع 2 من المفاتيح - العبارات والملفات الرئيسية.

يمكنك إضافة العبارة الرئيسية

cryptsetup luksaddkey / dev / sda2

يمكنك إضافة ملف رئيسي (2048 بت) وتعيين حقوق الوصول إليه.

DD IF \u003d / DEV / Urandom of \u003d / Root / ext2.key bs \u003d 512 عدد \u003d 4 cryptsetup luksaddkey / dev / sda2 / root/ext2.key chmod 400 / root/sda2.key cryptsetup -d / root/sda2.key Luksopen / dev / sda2 sda2_crypt

للاتصال عند بدء المفتاح / الخ / crypttab

Nano / etc / crypttab sda2_crypt / dev / sda2 / root/sda2.key luks

يمكنك حذف العبارة أو المفتاح الرئيسي من القسم.

cryptsetup lukskillslot / dev / sda2 1

تصاعد الطوارئ في توزيع "Strank"

لا أحد مؤمن عليه ضد المشاكل وأحيانا تحتاج إلى الوصول إلى القسم المشفهر من قرص LiveCD الطوارئ.

تحميل، قم بتوصيل القسم في النظام وتركيب FS:

cryptsetup luksopen / dev / sda2 sda2_crypt جبل -t ext4 / dev / mapper / sda2_crypt / mnt / backup

بعد العمل، قم بإلغاء تحميل FS وقم بإيقاف تشغيل القسم المشفهر من النظام

Umount / mnt / النسخ الاحتياطي cryptsetup luksclose sda2_crypt

رسائل الخطأ عند إيقاف التشغيل

إذا تم تشفير قسم الجذر، فسيتم إصدار ذلك عند إيقاف تشغيل الرسالة

إيقاف أقراص التشفير المبكر ... فشل

هذا خطأ فني. عند إيقاف التشغيل، أولا وقبل كل شيء، يتم تفكيك أنظمة الملفات دائما وفقط ثم يتم إيقاف تشغيل القسم. ونتيجة لذلك، اتضح أن الأداة المساعدة CryptSetup الموجودة على قسم الجذر غير المرغوب فيه غير قابل للتفسير بالفعل لإطلاق، ما نحن نفعله والتقارير. بدون عكازات، لم تحل هذه المشكلة، ل للقيام بذلك، نحتاج إلى النظر في خيارات مع نقل CryptSetup في قرص RAM

حالة مماثلة مطوية وعند استخدام غارة البرامج التي تحتوي على قسم الجذر. ثمانية)

تشفير باستخدام وحدة حلقة AES

تشفير قسم القرص الصلب، محركات أقراص فلاش باستخدام كلمة مرور

في هذا كيف وصف طريقة التشفير AES256.يمكن تطبيق الأساليب الأخرى بالمثل (استبدال اسم الطريقة إلى المناسب). سنحتاج إلى الحزم التالية:

# APT - احصل على تثبيت Loop-AES-Utils Loop-AES-Modules -`uname -r`

ملحوظة: إذا كنت تستخدم النواة التي لا توجد في المستودع، فلا توجد وحدات حلقة مطلوبة، فيمكنك ضبط الوحدات النمطية بالأوامر التالية:

# APT-احصل على تثبيت الوحدة النمطية Loop-Aes-Source # الوحدة النمطية A-I Loop-AES

المرحلة الأولى

في المرحلة الأولية، نقوم بإعداد القرص للعمل معه باستخدام التشفير.

حدد قسم من القرص (أو محركات الأقراص الفلاش) التي نريد تشفيرها، على سبيل المثال، ستكون / dev / sda2وبعد نقدم الفريق:

# losetup -e aes256 -t / dev / loop0 / dev / sda2

بعد إجراء هذا الأمر، كل الطعون إلى الجهاز / dev / loop0 سيتم تشفيره وفي شكل مشفر إعادة توجيه إلى الجهاز / dev / sda2وبعد الآن لدينا قنوات مشفرة وغير تخزين في وقت واحد لجهاز التخزين. يتم تشفير البيانات باستخدام كلمة المرور التي حددتها عند تنفيذ Losetup.

الآن يمكننا على سبيل المثال تنسيق الجهاز:

# mkfs.ext3 / dev / loop0

يمكننا تركيبها:

# جبل / dev / loop0 / المسار / إلى / جبل

يمكننا تعطيل التشفير:

# losetup -d / dev / loop0

والأهم من ذلك، يمكننا تشفير القسم دون فقد البيانات:

# DD IF \u003d / dev / sda2 من \u003d / dev / loop0

كما تشفير أيضا إذا قررنا أن التشفير ليس طريقنا:

# dd إذا \u003d / dev / loop0 من \u003d / dev / sda2

حسنا، الأكثر متعة، يمكننا التحقق من نظام الملفات للنزاهة:

# fsck.ext3 / dev / loop0

هذه الميزة غير متوفرة في جميع طرق تشفير الأقسام.

الاستخدام اليومي

إذا كان لديك بالفعل قسم في القسم / dev / sda2 في الخاص بك / الخ / fstabتحتاج فقط إلى إضافة خيارات، وإذا لم يكن الأمر كذلك فيما يلي:

/ dev / sda2 / مسار / to / mount ext3 حلقة، التشفير \u003d aes256 0 0

الآن عند تحميل نظام التشغيل، ستطلب منك كلمة مرور للتركيب.

إذا كنت لا ترغب في مقاطعة عملية التمهيد حسب طلب كلمة المرور، يمكنك إضافة خيارات noauto.,المستعمل. في الكتابة / الخ / fstab:

/ dev / sda2 / مسار / to / mount ext3 حلقة، التشفير \u003d aes256، noauto، المستخدم 0 0

بالطبع، يمكنك أن تسخر يدويا (أو من البرنامج النصي):

# جبل / ديف / SDA2 / المسار / إلى / جبل -o حلقة، التشفير \u003d AES256

تركيب أنظمة الملفات متعددة

في بعض الأحيان أريد تشفير العديد من الأقسام مع البيانات، ولكن حتى لا أدخل كلمات مرور البحر لكل منها تتعددوبعد على سبيل المثال، لديك محرك أقراص فلاش تقوم به من المنزل إلى العمل، ووينشستر المحمولة، إلخ. أو مجرد عدد قليل من الأقسام / محركات الأقراص الصلبة.

لنفترض أن لدينا قسم مشفر / dev / sda2الذي نحن في كل تنزيل مثبت في الكتالوج / mnt1.وبعد ظهر وينشستر جديد / dev / sdb1 ونحن نريد أنه شنت تلقائيا في الكتالوج mNT2. عند تركيب الأول. يمكنك بالطبع إنشاء نظام عام على شيء مثل LVM.ومع ذلك، يمكنك والذهاب بسهولة:

نصف ب. fstab. تقريبا الخط التالي:

/ dev / sda2 / mnt1 ext3 noatime، exec، حلقة، تشفير \u003d AES256 0 0 / dev / sdb1 / mnt2 ext3 noatime، exec، loop، encryption \u003d aes256، cleartextky \u003d / mnt1 / key.txt 0 0

النظام عند تحميل نقاط التحويلات بنفس الترتيب الموضح في fstab.وبالتالي، إذا لم يتم تركيب القسم الأول، فسيظل مفتاح جبل القسم الثاني لا يمكن الوصول إليه ولا يتم تركيب القسم الثاني.

يتم تخزين كلمة المرور كما نص عادي. إنها بالتأكيد ليست جميلة جدا، ولكن يتم تخزينها على قسم مشفرة (والتي يمكن إلغاء تحميلها). يمكنك استخدام بدلا من ذلك gPG.- ومع ذلك، فإن هذا لن يضيف الكثير من الأمان (إذا كنت تستطيع حفر مفتاح، فسيظل هناك فرقا كبيرا ما لن يفعله هذا المفتاح)، وخيار التشفير مع gPG.يتم وصفه بواسطة B. رجل losetup.، هنا سوف أعطي فقط مثال على الكتابة في fstab.:

/ dev / sda2 / mnt1 ext3 noatime، exec، حلقة، التشفير \u003d aes256 0 0 / dev / sdb1 / mnt2 ext3 noatime، exec، حلقة، التشفير \u003d aes256، gpgkey \u003d / mnt1 / key.gpg 0 0

ملاحظات

لمزيد من المعلومات حول خوارزميات التشفير المدعومة، انظر رجل losetup.، يمكنني أيضا رؤية وصف خيارات البرنامج الأخرى. losetup..

إذا كانت لديك مشاكل في تثبيت وحدات AES، ثم اقرأ الوثائق قيد التشغيل مع الحزمة حلقة.

اليرقة والقرص الجذر المشفر

عند تثبيت قسم الجذر على قرص Grub المشفر، يمكن أن يظهر الشقوق في القائمة الرئيسية. هذا بسبب عدم توفر الخط القياسي /usr/share/grub/unicode.pf2. نسخ الخطوط

CP /USR/Share/Grub/unicode.pf2 / التمهيد / نير

تشير إلى الإعداد

Nano / etc / default / grub grub_font \u003d / boot / grub / unicode.pf2

تطبيق الإعداد:

تحديث اليرقة.