Menú
Está libre
registrarse
el principal  /  Navegantes / Datos de cifrado en Linux. Cifrado de disco en el cifrado de disco Linux en Linux Debian

Datos de cifrado en Linux. Cifrado de disco en el cifrado de disco Linux en Linux Debian

Introducción

El almacenamiento de datos en una forma cifrada es una excelente manera de proteger la información para que no llegue al atacante. Para la protección de la propiedad intelectual, los secretos de producción o la información personal se desarrollan sistemas criptográficos. Se pueden realizar en varias formas, ofrecen diferentes niveles de funcionalidad y contienen cualquier número de opciones para abordar una amplia gama de conchas operativas y medios. Hoy en día, el número de métodos criptográficos modernos, algoritmos y soluciones son mucho más grandes que antes. Sí, y la calidad del desarrollo es mucho mejor. Además, hay muchas soluciones viables en el mercado basadas en código abierto.Lo que le permite lograr un buen nivel de protección sin gastar grandes cantidades de dinero.

En diciembre de 2005, el Instituto Ponmontime realizó entre varios especialistas en el campo de la encuesta de seguridad de la información sobre el cifrado y la protección de datos. Entre los 6298 encuestados solo el 4 por ciento de los encuestados utilizaron el cifrado en toda la empresa. Desde la misma encuesta, se revelaron tres razones principales para la oposición persistente a las reglas oficiales de encriptación:

  • El 69% de los encuestados mencionaron problemas de rendimiento;
  • El 44% de los encuestados mencionaron dificultades con la implementación;
  • El 25% de los encuestados habló sobre el alto precio de la implementación de algoritmos criptográficos.

En muchos países, las organizaciones están expuestas a múltiples palancas de presión para aumentar la "transparencia" de su trabajo. Pero, por otro lado, son responsables de la no estactancia de la seguridad de la información confidencial. Así fue, en particular, en el caso de las zapaterías de DSW en los Estados Unidos).

La Comisión Federal de Comercio de los EE. UU. Ha presentado una demanda contra DSW, en la que se estableció en la inseguridad del nivel adecuado de protección de la información y la no adecuación de las medidas adecuadas para construir sistemas adecuados para restringir el acceso a estos datos, así como insatisfactorio. proteccion conexiones de red Entre la tienda I. computadoras de oficina. En el caso de DSW, aproximadamente 1,4 millones de tarjetas de crédito y alrededor de 96 mil cuentas de cheques estaban potencialmente disponibles para los delincuentes. Y antes de que se lograron los acuerdos entre la Compañía y FTK, estas cuentas ya habían logrado usarlo ilegalmente.

Hoy en día, las soluciones de cifrado de datos de software e ingeniería están disponibles como siempre. Una clave USB, que está recibiendo el día del día, se usa cada vez más en lugar de tarjetas inteligentes. Este último, a su vez, también se puede encontrar a menudo, porque la mayoría de las computadoras portátiles contienen lector de tarjetas inteligentes.

Los consumidores están comenzando cada vez más a pensar en los peligros relacionados con el robo de información personal, los datos sobre el propietario, los números de la tarjeta de crédito. Y estas preocupaciones solo se calientan con mensajes sobre las ventas masivas de información robada de este tipo de instituciones que se confían con datos tan valiosos.

Los consumidores también comienzan a darse cuenta de que es importante proteger la información personal no solo en Internet, sino también fuera de la red. Al final, el acceso no deseado a sus datos no siempre está sucediendo a través de la red. Este problema es especialmente relevante para aquellos cuyas computadoras portátiles sin protección pueden obtener en manos del personal de servicio para cambiar la configuración, o al servicio de reparación.

Cifrado de preguntas técnicas

Las funciones de cifrado son necesarias para todos los modernos multijugador. sistemas informáticosCuando los datos, los procesos y la información del usuario se dividen lógicamente. Para determinar la autenticidad del usuario en un sistema similar, los inicios de sesión y las contraseñas se combinan y se comparan con los sistemas de hash ya disponibles en el sistema (ya sea que el hash se usa para descifrar la clave de sesión, que luego se verifica por validez). Para evitar la visualización no autorizada de la información personal dentro de los contenedores cifrados, se pueden almacenar archivos individuales o secciones completas. PERO protocolos de redPor ejemplo, SSL \\ TLS e IPSEC, lo permiten, si es necesario, fortalece la protección criptográfica. varios dispositivos (/ dev / aleatory, / dev / urandom, etc.) con la ayuda de algoritmos modulares que operan con el núcleo sistema operativo.

La tarea de cualquier tecnología de cifrado de disco es proteger contra acceso no deseado Para obtener información personal y en una disminución de los daños por la pérdida de propiedad intelectual como resultado del acceso ilegal o el robo del dispositivo físico. Operacional sistema Linux Con la versión del núcleo 2.6.4 introdujo una infraestructura criptográfica mejorada que protege de manera simple y confiable los datos personales en muchos niveles software. Hay como estándares de almacenamiento completos en forma cifrada a un nivel bajo, como la Configuración de la tecla Unificada de Linux (LUKS) y las implementaciones a nivel de nivel de usuario, por ejemplo, los sistemas de archivos ENCF y Cryptofs, que, a su vez, se basan en el espacio de usuario rápido Sistema de archivos (fusible) bajo Linux. Por supuesto, cualquier sistema criptográfico es estable de agrietarse tanto como sus contraseñas y las teclas de acceso. Hay tres niveles principales en los que se utilizan las tecnologías de cifrado:

  • nivel de archivo I. sistema de archivos (Cifrado de parches, contenedor con archivos);
  • nivel de bajo bloque (contenedor con sistema de archivos);
  • nivel de hierro (dispositivos criptográficos especializados).

El cifrado a nivel de archivo es una forma muy fácil de usar usualmente para compartir archivos. El cifrado se usa desde el caso del caso que es conveniente para enviar un número razonable de archivos. Para los sistemas de archivos multijugador, se produce el problema de la administración de claves, ya que las carpetas y los archivos de diferentes usuarios se cifran con claves diferentes. Por supuesto, puede usar una tecla, pero luego obtendremos una tecnología que se parece a la cifrado de disco. Como siempre, el usuario es responsable de elegir la contraseña más confiable.

Las aplicaciones criptográficas más avanzadas operan en el nivel del sistema de archivos, rastrear archivos en el momento de la creación, la grabación o modificaciones. Este método proporciona mejor defensa Información personal De cualquier forma de usarlo, es bueno y con una gran cantidad de archivos. Además, no es necesario ocuparse de las aplicaciones que no saben cómo encriptar los archivos por separado.

Algunas tecnologías criptográficas son gratuitas e incluidas en muchas distribuciones. Por cierto, Últimas Versiones Windows está equipado con un sistema de archivos especial con soporte de cifrado de sistema de archivos cifrado (EFS). Fedora admite una serie de opciones de cifrado, incluidas las Luks (puede habilitar el soporte de Luks y en Windows si utiliza sistemas de archivos FAT o FAT32 y la aplicación FreeOtfe). Y en los paquetes adicionales de extras están disponibles FUSE y ENCF. Cryptofs también se puede instalar descargando desde sitio oficial. .

La infraestructura de fusibles consiste en un módulo cargado del kernel y la biblioteca del espacio de usuario, que sirve como base para el sistema de archivos Cryptofs y para el sistema de archivos cifrado (ENCF). De acuerdo con su estructura, el fusible no afecta el código fuente del núcleo y, al mismo tiempo, proporciona una alta flexibilidad para implementar muchas adiciones interesantes, como el sistema de archivos Secure Shell File System (SSHFS).

Las tiendas Cryptofs se cifran datos en la estructura habitual del directorio se separan en dos partes principales: información de texto (Lista de archivos, carpetas, archivos) y datos en realidad encriptados. Puede volver a montar el directorio encriptado con la tecla. Cuando el uso de Cryptofs no necesita privilegios especiales, la configuración tampoco es difícil.

El sistema de archivos ENVS también es un implemento del espacio de usuario en función de la biblioteca de fusibles, brindando protección contra el robo de información y operando en el principio del cifrado de parches. Ella heredó su estructura de versiones tempranas, pero con mejoras en ambos formas y funciones. El sistema de archivos ENCFS se puede ampliar dinámicamente para satisfacer los requisitos de los usuarios crecientes. Los archivos se pueden cifrar en varios parámetros (por ejemplo, al cambiar el contenido, por atributos, etc.). De hecho, el almacenamiento subyacente para los ENCF puede ser cualquier cosa: desde la imagen ISO a una partición de red o incluso un sistema de archivos distribuido.

Ambos sistemas de archivos funcionan a través del principio de extremo a extremo, y se pueden usar en la parte superior de otros sistemas de archivos y abstracciones lógicas, por ejemplo, en la parte superior de un registro o sistema de archivos extendidos, que se puede distribuir en varios medios físicos utilizando Un gerente de partición lógico (LVM). La siguiente ilustración muestra esquemáticamente cómo funciona este sistema de archivos: en este diagrama, el directorio visible está indicado / Monte (el nivel de datos de ENFS no cifrados).

Superposición del espacio de usuario que muestra la interacción del fusible y los ENCF.

Bajo el nivel de la abstracción del sistema de archivos, hay esquemas de cifrado de bajo nivel (bloque), similares a los utilizados en Luks. Los esquemas de este tipo funcionan solo en las unidades de disco, no prestan atención a la abstracción del sistema de archivos de niveles más altos. Dichos esquemas se pueden usar para obtener archivos de paginación para varios contenedores o incluso para medios físicos enteros, incluido el cifrado completo de la sección raíz.


Luks funciona sin un conocimiento preciso del formato del sistema de archivos.

Luks está diseñado de acuerdo con la configuración de la clave de confianza # 1 (TKS1) y compatible con Windows, si usa cualquier formato de sistema de archivos comunes (FAT / FAT32). El sistema es adecuado para usuarios móviles, Apoya la liberación y revisión de la Guardia de Privacidad de las teclas GNU (GPG) y es absolutamente gratuita. Luks es capaz de mucho más que cualquier otra implementación descrita en este artículo. Además, LUKS admite una gran cantidad de soluciones para crear y administrar dispositivos con el cifrado de LUKS.

El sistema de archivos Cryptofs solo recibe una contraseña, mientras que los medios encriptados con Luks funcionan con cualquier tecla PGP (bastante buena privacidad) con cualquier contraseña de contraseña. Los ENCF también utilizan una contraseña para proteger los archivos, pero abre la llave almacenada en el directorio raíz apropiado.

Las diferencias entre las implementaciones en los niveles bajos y del espacio de usuario son las mejores noticias en las pruebas prácticas. A un nivel bajo, los datos pueden ser "transparentes" transferidos al sistema de archivos, que administra la grabación y las operaciones de lectura es mucho más eficiente.

Configuración de prueba

Nuestra plataforma de prueba se ha convertido en la computadora portátil Dell Latitude C610, un poco anticuada, pero aún un representante inteligente de las tecnologías de muestras de 2002. Cuando la nutrición de la batería, C610 reduce la frecuencia del procesador a 733 MHz. Por lo tanto, durante las pruebas, no apagamos la computadora portátil de la salida. La siguiente tabla muestra la configuración del portátil.

Los resultados de las pruebas se obtuvieron utilizando el sistema de archivos EXT3 en Linux. Quizás ext3 en comparación con otros sistemas de archivos de registro no es la más productiva. Pero los experimentos S. conjunto fino Formato del sistema, tamaño de bloque, parámetros de almacenamiento, etc. No son tareas de nuestras pruebas, porque no cumplen con los criterios para una fácil configuración y configuración. Recuerde que el propósito del artículo fue mostrar cómo las soluciones criptográficas en Linux le permiten crear, de manera efectiva y económica, crear almacenes de datos protegidos.

Instalación

Los Luks, Fuse y SIFS están disponibles en la distribución de Fedora, de modo que los esfuerzos adicionales no necesitan. Pero Cryptofs tendrá que descargarse por separado.

La compilación de Cryptofs del código fuente es bastante simple. Desembale el archivo, ejecute el script de configuración en el directorio final, luego ejecute la marca, como se muestra en la ilustración. El archivo de configuración contiene cuatro parámetros: cifrado de cifrado, algoritmo de perfil de mensaje (algoritmo de resumen de mensajes), tamaño de bloque (recuento de sal de cifrado).


El proceso de instalación de Cryptofs es simple.

La configuración consiste en especificar rutas de los directorios iniciales y finales (para datos cifrados y sin cifrar). Luego, puede ejecutar el comando cryptofs, como se muestra en la siguiente figura.


Configuración de Cryptofs.

Luego, puede ejecutar el comando MOUNT, después de lo cual puede ver la partición montada.

Primero, asegúrese de descargar el módulo de fusible Kernel (fusible modprobe). Los ENCF simplifican el proceso de creación de un contenedor cifrado, como se puede ver en la siguiente ilustración.


Si reduce el proceso de configuración de las teclas (que es específica para cada situación), luego los Luks se pueden configurar fácilmente como se muestra a continuación.


Análisis de pruebas y rendimiento.

Las diferencias en el rendimiento entre la instalación e instalación "nativa" en un entorno que los Luks cifrados son bastante insignificantes. Especialmente teniendo en cuenta la notable diferencia en las soluciones del espacio de usuario. Para una evaluación alternativa del rendimiento de los sistemas de archivos encriptados, utilizamos IOZONE. Para las pruebas, se utilizan grabaciones de 4 kb a 16 MB, el tamaño del archivo cambia de 64 KB a 512 MB, y el resultado se especifica en el Krib / s.

Conclusión

Al menos, donde se usa Luks, no se puede pensar en el rendimiento. Aunque, por supuesto, cierta pérdida de desempeño es causada por el cifrado de datos "transparente". El sistema LUKS es fácil y fácil de instalar, y puede usarlo tanto en Linux como en Windows.

Los usuarios corporativos probablemente tendrán que enfrentar restricciones relacionadas con las políticas de la Compañía. A menudo prohíben las soluciones basadas en un código de código abierto o prohibir algunas implementaciones. Además, a veces debe tener en cuenta las restricciones de importación / exportación sobre las tecnologías de cifrado relacionadas con la durabilidad del Código, o el Departamento de TI requiere soporte telefónico del proveedor de soluciones, lo que le permite olvidarse de Luks, ENCF y Cryptofs. En cualquier caso, Luks es una excelente solución si tales problemas no te molestan. Una buena opción Para pequeñas empresas o para usuarios domésticos.

Pero debe recordarse que el cifrado de datos no es una panacea. Dado que el cifrado es transparente, cualquier programa de troyano que opera en nombre del usuario puede acceder a los datos cifrados.

Opinión de opinión

Cryptofs y ENCF - Implementaciones del espacio de usuario. Como hemos explicado anteriormente, difieren la simplicidad del diseño y la implementación, pero tiene que pagar el desempeño y las oportunidades. Esto es especialmente obvio en comparación con los Luks. No solo funciona significativamente más rápido, sino que también admite una o más teclas PGP y se puede usar en toda la sección.

Los contenedores del espacio de usuario son importantes, en primer lugar, para los usuarios que desean proteger la información personal en un entorno multijugador. Y quién necesita proteger sus datos para que incluso el administrador no pueda acceder a los recursos de hardware o software. Además del rendimiento y el soporte entre plataformas, Luks está perfectamente integrado con los sistemas de control de clave GNOME y PGP. Y la facilidad de uso diario de las secciones de Luks encriptadas es simplemente impresionante. Por cierto, los ENCF son compatibles con el módulo de autenticación enchufable (PAM) en Linux en los entornos respectivos.

Tenga en cuenta que el autor de este trabajo cuenta sobre los métodos de las secciones de cifrado del disco, que se usa a sí mismo.

Linux

Este manual utiliza Linux DM-Crypt (magno de dispositivos.) En el núcleo 2.6 . Cifraremos la sección. / dev / sdc1, puede ser cualquier partición, disco, USB o archivo creado por losetup.. Aquí usaremos / Dev / loop0, Mira. Magno de dispositivos usa una etiqueta para identificar una partición en este ejemplo sDC1Pero puede ser cualquier otra línea.

Cifrado de particiones de disco usando Luks

Luks. de dM-Crypt. Es muy conveniente para encriptar particiones de disco, le permite tener varias contraseñas para una partición, así como para cambiarlas fácilmente. ¿Qué verificaría algún uso disponible? Luks., tipo: cryptSetup --Help.Si sobre Luks. Nada apareció, lea a continuación ". dM-Crypt sin Luks"Para empezar, cree una sección, si es necesario fdisk / dev / sdc.

Cómo crear una sección cifrada

# DD if \u003d / dev / urandom of \u003d / dev / sdc1 # Opcional. Solo para paranoikov # Cryptsetup -y luksformat / dev / sdc1 # Destruirá todos los datos en sDC1 # CryptSetup Luksopen / dev / SDC1 SDC1 # MKFS.EXT3 / DEV / MAPPER / SDC1 # Será creado sistema de archivos ext3 # Mount -t ext3 / dev / Mapper / SDC1 / MNT # UMOUNT / MNT # CryptSetup Luksclose SDC1
Burlarse de
# CryptSetup Luksopen / dev / SDC1 SDC1 # MOUNT -T EXT3 / DEV / MAPPER / SDC1 / MNT
Desmontar
# Umount / mnt # cryptsetup luksclose sdc1

dM-Crypt sin Luks

# CryptSetup -Y Crear SDC1 / dev / sdc1 # O cualquier otra sección, tipo / Dev / loop0 # Dmsetup ls. # Cheque, mostrará: sDC1 (254, 0) # MKFS.EXT3 / DEV / MAPPER / SDC1 # ¡Solo si se hace por primera vez! # MOUNT -T EXT3 / DEV / MAPPER / SDC1 / MNT # UMOUNT / MNT / # CryptSetup Eliminar SDC1 # Desconecte la sección cifrada Haga lo mismo, (sin crear FS), sea lo que sea para volver a conectar la sección. Al ingresar una contraseña incorrecta, el comando MOUNT no se ejecutará. En este caso, simplemente elimine la pantalla. sDC1 (cryptSetup quitar SDC1) Y crea uno nuevo.

FreeBSD.

Un par de módulos populares para discos de cifrado en, es gbde y geli.. Geli. Más rápido porque utiliza la aceleración de hardware. Consulte el Manual FreeBSD Capítulo 18.6 Para obtener una descripción más detallada. Para el trabajo, geli. Debe ser cargado como el módulo del kernel, o lo controla en la etapa de compilación. Opciones Geom_Eli Dispositivo Crypto # O carga como módulo de kernel: # Echo "geom_eli_load \u003d" sí "" \u003e\u003e /boot/loader.conf # o kldload geom_eli

Usa contraseña y clave

El autor utiliza estos ajustes para la cifrado de secciones típicas, utiliza una contraseña y una clave para el cifrado " Llave maestra. - La clave principal ". Cualquiera que sea la sección cifrada, necesitará una contraseña y una clave /root/ad1.key. "Llave maestra."Se almacena en la partición e invisible. El siguiente ejemplo es típico para una imagen USB o archivo.

Crea una sección cifrada

# DD if \u003d / dev / aleator of \u003d / root / ad1.key bs \u003d 64 cuenta \u003d 1 # Esta tecla encripta la clave maestra # Geli init -s 4096 -k /root/ad1.key / dev / ad1 # -s 8192 y OK para discos # Geli adjuntar -k /root/ad1.key / dev / ad1 # HA CUENTA BACKUP /ROOT/AD1.KEY # Dd if \u003d / dev / al azar de \u003d / dev / ad1.eli bs \u003d 1m # opcional y toma mucho tiempo # newfs /dev/ad1.eli # Crear sistema de archivos # Monte /dev/ad1.eli / mnt # Montaje de una partición cifrada
ADJUNTAR
# Geli adjuntar -k /root/ad1.key / dev / ad1 # fsck -ny -t -t ffs /dev/ad1.eli # Si hay dudas, marque el sistema de archivos # Monte /dev/ad1.eli / mnt
Despegar.
El procedimiento de desmontaje se realiza automáticamente cuando se apaga. # umount / MNT # Geli Detach /dev/ad1.Eli
/ etc / fstab
Montaje La partición cifrada se puede configurar a través de / etc / fstab. La contraseña se solicitará al cargar. # grep geli /etc/rc.conf geli_devices \u003d "ad1" geli_ad1_flags \u003d "- k /root/ad1.key" # grep geli / etc / fstab /dev/ad1.eli / home / private uts rw 0 0

Solo por contraseña

Esto es más manera adecuada Para cifrar la unidad flash o la imagen según el archivo, solo se solicita contraseña. En este caso, no necesita preocuparse por los archivos clave. El procedimiento se asemeja a lo descrito anteriormente, excepto para crear archivos clave. Encanta el tamaño de 1 GB, creado desde el archivo. / Criptedfile.. # dd if \u003d / dev / cero of \u003d / cripttedfile bs \u003d 1m Count \u003d 1000 # Crear archivo de 1GB # mdconfig -at vnode -f / criptedfile # geli init / dev / md0 # Encryp solo por contraseña # geli adjunte / dev / md0 # newfs -u -m 0 /dev/md0.eli # monte /dev/md0.eli / mnt # umunt /dev/md0.eli # geli detach md0.eli ahora esta imagen se puede asignar a otro automóvil, simplemente ingresando la contraseña. # Mdconfig -at vnode -f / criptedfile # geli adjuntar / dev / md0 # mount /dev/md0.eli / mnt

La seguridad y la confidencialidad son muy importantes para aquellos que almacenan datos importantes en la computadora. Su computadora doméstica es segura, pero con una computadora portátil u otros dispositivos portátiles, la situación varía mucho. Si usa su computadora portátil con usted en casi todas partes y las personas no autorizadas pueden tener acceso, surge la pregunta: cómo proteger sus datos de la intervención de otra persona. Es a partir de ataques físicos donde todos los deseos pueden intentar obtener datos de una unidad USB o un disco duro portátil simplemente escogiendo un dispositivo o en caso de una computadora portátil, tirando del disco duro y conectándolo a otro sistema operativo.

Muchas empresas e incluso usuarios simples Use el cifrado de disco en Linux para proteger la información confidencial, como: Información del cliente, archivos, información de contacto y mucho más. En el sistema operativo Linux, se admiten varios métodos criptográficos para proteger particiones, directorios individuales o un disco duro completo. Todos los datos, en cualquiera de estos métodos, se cifran automáticamente y se descifran sobre la marcha.

Cifrado a nivel del sistema de archivos:

  • 1. Ecryptfs. - Este es un sistema de archivos criptográficos Linux. Almacena metadatos criptográficos para cada archivo en archivo separadoPor lo tanto, los archivos se pueden copiar entre las computadoras. El archivo se descifrará con éxito si tiene una clave. Esta solución se usa ampliamente para implementar un directorio de inicio cifrado, por ejemplo, en Ubuntu. También los cromosos incrustan de forma transparente estos algoritmos cuando se usan dispositivos de red Para el almacenamiento de datos (NAS).
  • 2. ENCF. - Proporciona un sistema de archivos encriptado en el espacio de usuario. Funciona sin ningún privilegio adicional y utiliza la biblioteca de fusibles y el módulo del kernel para proporcionar la interfaz del sistema de archivos. ENCF es un software libre y se extiende bajo la licencia GPL.

Cifrado de bloques a nivel de dispositivo:

  • Loop-AES. - Sistema de archivos rápido y transparente, así como un paquete para cifrar una sección de localización en Linux. El código fuente del programa no ha cambiado mucho tiempo. Funciona con los kernels 4.x, 3.x, 2.2, 2.0.
  • TrueCrypt. - Esta es una solución de código abierto gratuita para el disco de cifrado en sistemas operativos Windows 7 / Vista / XP / Mac OS X, así como en Linux.
  • dM-Crypt + Luks - DM-crypt es un subsistema transparente para el cifrado de disco en las versiones de Kernel 2.6 y posteriores. Cifrado admitido de discos completos, medios extraíbles, particiones, volúmenes de redada, software, volúmenes lógicos y archivos.

En este manual, veremos el cifrado del disco duro en Linux utilizando el algoritmo de Formato de Configuración de la clave Unificada de Linux (LUKS).

¿Cómo funcionan Luks?

Luks (Configuración de la clave unificada de Linux: protocolo de encriptación de bloques. Pero corrimos lejos para entender cómo funciona, debe haberlo descargado para lidiar con otras tecnologías utilizadas en este método.

Para realizar el cifrado del disco Linux, se utiliza el módulo Kernel DM-crypt. Este módulo le permite crear un dispositivo de bloques virtual en el directorio / dev / MapperPer con un sistema de archivos transparente y un usuario con cifrado. De hecho, todos los datos se encuentran en la sección física cifrada. Si el usuario intenta escribir datos en un dispositivo virtual, se cifra en la mosca y se registran en el disco, al leer desde un dispositivo virtual, se realiza una operación inversa: los datos se descifran desde el disco físico y se transmiten a video abierto mediante disco virtual usuario. Por lo general, el método AES se utiliza para el cifrado, porque la mayoría de los procesadores modernos se optimizan bajo ella. Es importante tener en cuenta que puede cifrar no solo las secciones y los discos, sino también los archivos ordinarios al crear un sistema de archivos en ellos y conectarse como un dispositivo de bucle.

El algoritmo de Luks determina qué acciones y en qué orden se realizarán mientras se trabaja con medios encriptados. Para trabajar con Luks y el módulo DM-Crypt Use la utilidad CryptSetup. Lo veremos más lejos.

Utility CrytSetup.

La utilidad CryptSetup hará que sea más fácil facilitar la cifrar la sección Linux utilizando el módulo DM-Crypt. Vamos a instalarlo primero.

En Debian o Ubuntu, use dicho comando para esto:

apt-get install cryptsetup

En las distribuciones basadas en Red Hat, se verá así:

yum Instale CryptSetup-Luks

La sintaxis de inicio del comando:

$ CryptSetup Opciones Operaciones de Operaciones Operaciones

Considere las operaciones básicas que se pueden hacer usando esta utilidad:

  • luksformat. - Crear una sección cifrada Luks Linux
  • luksopen. - Conecte el dispositivo virtual (necesidad de clave)
  • lanzar - Cierre el dispositivo virtual Luks Linux
  • luksaddkey. - Añadir clave de cifrado
  • luksremovekey - Eliminar clave de cifrado
  • luksuuid. - Mostrar sección UUID
  • luksdump - Crear una copia de seguridad de los encabezados de Luks.

Los parámetros de operación dependen de la operación en sí, generalmente es un dispositivo físico con el que necesita realizar una acción o virtual o ambos. No todo no está claro, pero en la práctica, creo que tratará con todo.

Cifrado de disco Linux

Se pasa la teoría, todas las herramientas están listas. Ahora considere el cifrado de la sección Linux. Veamos a la configuración del disco duro. Tenga en cuenta que eliminará todos los datos del disco o la partición que va a cifrar. Entonces, si hay datos importantes, es mejor copiarlos a un lugar más confiable.

Creando una sección

En este ejemplo, encriptaremos la sección / dev / sda6, pero en su lugar puede usar un disco duro completo o solo un archivo lleno de ceros. Crea una sección cifrada:

cryptSetup -Y -V LuksFormat / Dev / SDA6

¡Advertencia!
========
Esto sobrescribirá datos en / dev / sda6 irrevocablemente.

¿Está seguro? (Escriba mayúsculas sí): si
Ingrese a Luks Passphrase:
Verifique la frase de contraseña:
Comando exitoso.

Este comando inicializará la partición, establecerá la clave de inicialización y la contraseña. Especifique tal contraseña para no olvidar más tarde.

Realice dicho comando para abrir la sección recién creada utilizando el módulo DM-crypt In / dev / Mapper, deberá ingresar una contraseña con la que se realice el cifrado LUKS Linux:

Ingrese la frase de contraseña para / dev / sda6

Ahora puede ver un nuevo dispositivo virtual / dev / Mapper / Backup2 creado usando el comando LUKSFORMAT:

lS -L / DEV / MAPPER / BACKUP2

Para ver el estado del dispositivo, siga:

cryptSetup -v estado Backup2

/ Dev / Mapper / Backup2 está activo.
Tipo: Luks1.
Cifrado: AES-CBC-ESSIV: SHA256
Keysize: 256 bits
Dispositivo: / dev / sda6
Offset: 4096 sectores
Tamaño: 419426304 Sectores
MODO: LEER / ESCRIBIR
Comando exitoso.

Y con el siguiente comando, puede respaldar la copia de seguridad de los encabezados de Luks por si acaso:

cryptSetup Luksdump / dev / sda6

Bueno, puedes decir que la sección está lista. Y lo que es lo más interesante, ahora puedes usarlos de la misma manera que cualquier otra partición regular en el directorio / dev. Puede formatearse utilizando utilidades estándar, registrar datos en él, cambiar o verificar el sistema de archivos y t d. No solo puede cambiar el tamaño. Es decir, todo es completamente transparente, como se mencionó al comienzo del artículo.

Sección de formato

Vamos a formatear el disco para iniciar el formato. Para la confiabilidad, para borrar todos los datos que se encontraban en este lugar antes, reiniciando nuestra sección cifrada Linux Zeros. Esto reducirá la probabilidad de piratería de cifrado, a través de un aumento en el número de información aleatoria. Para hacer esto, sigue:

dD if \u003d / dev / cero de \u003d / dev / Mapper / Backup2

La utilidad de trabajo puede tardar varias horas para poder observar el proceso, use PV:

pV -tpreb / \u200b\u200bdev / cero | DD de \u003d / dev / Mapper / Backup2 BS \u003d 128m

Cuando se completa el proceso, podemos formatear el dispositivo a cualquier sistema de archivos. Por ejemplo, formato en ext4:

mKFS.EXT4 / DEV / MAPPER / BACKUP2

Como puede ver, todos los comandos de CryptSetup se aplican a la partición física, mientras que los otros comandos para trabajar con discos, a nuestro virtual.

Sección de montaje

Ahora solo puede montar el sistema de archivos creado:

$ Monte / dev / Mapper / Backup2 / Backup2

Deshabilitar la sección

Todo funciona, pero cómo deshabilitar el dispositivo y proteger los datos. Para hacer esto, sigue:

cryptSetup Luksclose Backup2.

Montaje repetido

Para obtener la oportunidad de trabajar nuevamente con una sección cifrada utilizando Luks Linux, debe abrirlo nuevamente:

cryptSetup Luksopen / dev / sda6 backup2

Ahora podemos montar:

monte / dev / Mapper / Backup2 / Backup2

Revise el sistema de archivos de Luks

Dado que después de abrir la partición utilizando Luks Linux, la sección es percibida por el sistema, como todos los demás, simplemente puede usar la utilidad FSCK:

sudo umount / backup2

$ FSCK -VY / DEV / MAPPER / BACKUP2

$ Monte / Dev / Mapper / Backup2 / Backu2

CAMBIAR LUKS Frase de contraseña

El cifrado del disco Linux se realiza con una frase de contraseña específica, pero puede cambiarla. Aún más, puede crear hasta ocho frases de contraseña diferentes. Para cambiar siguiendo los siguientes comandos. Primero, haga una copia de seguridad de los encabezados de Luks:

cryptSetup Luksdump / dev / sda6

Entonces crea nueva llave:

cryptSetup Luksaddkey / dev / sda6

Ingrese cualquier frase de contraseña:

Ingrese nueva frase de contraseña para la ranura de teclas:
Verifique la frase de contraseña:

Y eliminar lo viejo:

cryptSetup LuksRemoveKey / Dev / SDA6

Ahora tienes que introducir otra contraseña antigua.

conclusiones

Eso es todo lo que sabe cómo encriptar la sección en Linux, así como entender cómo funciona todo. Además, el cifrado de discos en Linux de acuerdo con el algoritmo de LUKS abre amplias oportunidades para el cifrado completo del sistema instalado.

Pros:

  • Luks encripta todos los dispositivos de bloque, y por lo tanto, muy adecuados para proteger los contenidos. dispositivos portables, como celulares, portadores extraíbles o unidades de disco duro computadoras portátiles
  • Puede usar en los servidores NAS para proteger las copias de seguridad.
  • Los procesadores Intel y AMD con AES-NI (estándar de cifrado avanzado) tienen un conjunto de comandos que pueden acelerar el proceso de cifrado basado en la cripta de DM en el kernel de Linux a partir de 2.6.32.
  • Funciona, incluido con la sección de localización, por lo que su computadora portátil puede usar la función del modo de suspensión, o la hibernación es completamente segura.

Hoy en día, el almacenamiento de datos importantes en el formulario abierto se ha vuelto más peligroso. Y ni siquiera tanto debido a la vigilancia estatal (desean: encontrarán, qué quejarse, y así) cuánto se debe a aquellos que desean que estos datos se sidnap. En principio, hay muchos métodos para proteger la información, pero los medios criptográficos se describirán en el artículo.


A diferencia de algunos otros sistemas operativos, Linux tiene muchos medios para la protección de la información criptográfica, desde la correspondencia de cifrado de correo antes de encriptar los archivos y bloquear dispositivos. Estamos interesados \u200b\u200ben el cifrado a nivel de sistemas de archivos, archivos y dispositivos de bloques. Primero deberías averiguar cuál es la diferencia. El cifrado en el nivel del sistema de archivos asume la presencia de una capa entre el sistema principal de archivos (a menos que, por supuesto, el sistema de archivos en sí no admite el cifrado) y el usuario.

La ventaja de este tipo de cifrado es que las claves para todos los usuarios son diferentes. La falta de: si habilita el cifrado de nombre de archivo, la longitud del nombre válido disminuirá, además, el usuario puede guardar el archivo en otro disco, lo que nivela automáticamente el beneficio. Y uno más, pero, incluso si el cifrado de nombre está habilitado, las etiquetas temporales seguirán siendo las mismas. Los dispositivos de bloques de cifrado se producen en un nivel inferior, debajo del sistema de archivos. Al mismo tiempo, el sistema de archivos en sí, por supuesto, no sabe que está en el volumen encriptado.

Las ventajas de este método son opuestas a las deficiencias del anterior. La falta del hecho de que cada vez que descarga / monte ingrese la contraseña. La segunda falta es que, si en el rankse, el atacante recibirá acceso a los archivos en la criptocon.
Toiner, todo - escribiendo. Esto es exactamente qué protección contra los ataques fuera de línea. Además, en la mayoría absoluta de casos de conservación de un criptocontiner en la nube, tendrá que llenarlo por completo.

El artículo describirá la configuración de los siguientes métodos de protección crypto:
dM-Crypt / Luks - crear un cryptocontainer usando el dispositivo-Mapper y Kernel Cryptoapi;
ecryptfs. - Cifrado a nivel del sistema de archivos;
ENCF. - Lo mismo que se describe anteriormente, pero no requiere cargar los módulos del kernel.

DM-Crypt / Luks
Hay dos tipos de configuración de DM-crypt - Llanura y Luks. La diferencia es que, en el caso del uso de Luks al comienzo del Cryptotoma, hay metadatos, lo que le permite usar múltiples claves y cambiarlas. Al mismo tiempo, la presencia de un título similar en algunos casos en sí mismo está comprometido, sin embargo, en la mayoría de los casos, se comprometerá y un alto grado de entropía. Configuración de la llanura DM-Crypt con un archivo clave y una frase de contraseña de la siguiente manera, de la siguiente manera, cómo configurar una combinación a partir de un volumen de criptas DM plano cifrado usando un archivo clave, a su vez contenido en el contenedor de Luks. Para empezar, es necesario decidir exactamente cómo se colocarán las secciones. Hay tres opciones principales:
solo volumen crypto;
Primer cripto, luego en la parte superior de IT LVM;
Primer cripto, luego RAID, luego LVM.

Y todo tipo de combinaciones. Probemos la segunda opción. En primer lugar, cree contenedor LUKS para almacenar un archivo clave para usar este archivo con una frase clave. En este caso, se reduce la probabilidad de que se cifre el volumen de criptoanálisis que se cifre utilizando DM-cript simple:

# Dd if \u003d / dev / cero of \u003d / root / key.luks bs \u003d 512 Count \u003d 2057

# Cryptsetup --align-Payload \u003d 1 Luksformat /root/key.luks

# Cryptsetup luksopen /root/key.luks cryptokey

# DD if \u003d / dev / urandom of \u003d / dev / Mapper / Cryptokey

El primer comando prepara el archivo de contenedor, el segundo que crea este contenedor, el tercero se conecta, la cuarta genera información clave. Vale la pena señalar que la opción -Lign-Payload \u003d 1 es necesaria para que el tamaño de los metadatos de Luks no sea 4096 bloques de 512 bytes, pero solo 2056. Por lo tanto, 512 bytes permanecen en la información clave en sí.
Luego vaya a la creación de un criptotoma. En esta etapa, a voluntad, también puede llenar el disco con datos pseudo-aleatorios para que sea difícil de criptanálisis si lo es. Entonces puedes crear criptot. El equipo para esto parece esto (naturalmente, en otros identificadores de casos puede diferir, por lo que debe ser atento):

# Cryptsetup --cipher \u003d serpent-xts-lleit64 --offset \u003d 0 - key-file \u003d / dev / Mapper / Cryptokey -Key-Tamaño \u003d 512 Open --Type \u003d Plain / dev / disco / by-id / Ata -Vbox_harddisk_vb05eatebe-f25E8D59 Crypto0


Si es necesario, debe repetir el mismo comando y en otros dispositivos para los que se requiere el cifrado. Luego crea en LVM Cryptotomas y el FS en él:

Cree un archivo / etc / initramfs-Herramientas / ganchos / Cryptokeys aproximadamente el siguiente contenido (parte de la utilidad del script):

Y Archivo / etc / initramfs-Tools / Scripts / Local-Top / Cryptokeys (parte de servicio otra vez
mismo bajado):

# <...>

modprobe - b dm_crypt

¡Tiempo! (/ Sbin / crytsetup luksopen / etc / crypto / clave. Luks Cryptokey

/ Dev / disco / by - ID / ATA - VBOX_HARDDISK_VB05EATEBE - F25E8D59 Crypto0

&& / sbin / cryptsetup lendaopen - Tecla - Archivo \u003d / dev / Mapper / Cryptokey

/ Dev / disco / by - ID / ATA - VBOX_HARDDISK_VBC2414841 - CFECCDE5 Crypto1

&& / sbin / cryptsetup luksclose cryptokey

) hacer.

echo "inténtalo de nuevo. . . "

hecho

Estos dos archivos deben ser ejecutados. Luego crea initrd:

# Actualización-initramfs -u -k all -v

Sobre el siguiente reinicio, se solicitará la contraseña para el contenedor de Luks. En el caso de usar DM-Crypt, hay otra posibilidad, una capa inferior común, que le permite hacer algo como los volúmenes ocultos de TrueCrypt. Es más fácil dar un ejemplo:

# Cryptsetup --cipher \u003d serpent-xts-lleit64 --offset \u003d 0 - talla \u003d 2097152 - shared abre --type \u003d liso / dev / disco / by-id / ata-vbox_harddisk_vbcda8398f-f1f1deec crypto

# Cryttsetup --cipher \u003d serpent-xts-lleit64 --ffset \u003d 2097152 - Tamaño \u003d 2097152 - Tamaño \u003d 2097152 - STAME \u003d 2097152 - SIGNO ABIERTO - TYPEPE \u003d PLANTE / DEV / DISK / BY-ID / ATA-VBOX_HARDDISK_VBCDA8398F-F1F1DEEC Crypto_Shared

El tamaño y la compensación se indican en bloques de 512 bytes.


Características extendidas de Luks
Veamos también en el uso extendido de contenedores de Luks. Estos incluyen llaves de cambio. Esto es necesario al comprometer o crear políticas de cambio clave. El primer paso para esta será la creación de una copia de respaldo del encabezado del contenedor. Si todos
Normalmente, después de cambiar la llave, se puede destruir. Lo hacemos, comprensible, en una sección involuntaria:

Finalmente, agregue una nueva clave al sistema:

Considere y el procedimiento para restaurar los volúmenes de Luks. La opción más fácil, por supuesto, cuando hay una copia del encabezado. En este caso, solo se requiere un comando para restaurar:

La puntada continua más larga será la clave maestra. Debe copiarse en el archivo en el volumen no comprobado y luego convertir a la forma binaria (antes de asegurarse de que en este archivo No
Símbolos de extremo de cadena):

ENCF.
Veamos cómo configurar los ENCF para montar automáticamente al iniciar sesión. Para empezar, pondremos los paquetes necesarios:

Al configurar en modo experto, se especificarán una serie de preguntas: el tipo de cifrado (solo AES y Bwofish), el tamaño de la llave, el tamaño del bloque, cómo cifrar los nombres de los archivos: bloquear el cifrado (que oculta completamente el nombre del archivo , incluida la longitud), la transmisión (que cifra con la longitud más cercana, que a veces es conveniente si los nombres son demasiado largos y al usar un cifrado de bloque, existe una probabilidad bastante alta que exceda la longitud máxima) o no habrá contraseña en Todos ... En la contraseña final se solicitará, debe coincidir con la entrada utilizada, de lo contrario, automáticamente no funcionará.

Debe editar el archivo /etc/security/pam_encfs.conf:

Y archivo /etc/fuse.conf:

Y agregue el usuario al grupo de fusibles:

$ sudo usermod - a - g fusible $ usuario

Después de ingresar el inicio de sesión, el directorio privado se puede utilizar como almacenamiento para datos personales. Sin embargo, vale la pena señalar que la auditoría reveló algunos problemas de seguridad (lo suficientemente serios), por lo que este sistema Es extremadamente recomendable usar datos realmente importantes para almacenar.

Ecryptfs.
Se sabe que EcryPtFS se usa en Ubuntu como una herramienta predeterminada para proteger directorios a domicilio. Veamos cómo funciona, crearemos un directorio encriptado manualmente. Instalar paquetes:

Creationcryptfs.

Y monto el FS (todos los metadatos necesarios se crean cuando se monta por primera vez):

$ sudo Mount - T Ecryptfs / Home / ROM /. Secreto / Inicio / ROM / Secreto

Se solicitará una frase de contraseña (solo una vez, la reingreso no se implementa, lo que no parece una solución muy buena, considerando que debe ser largo), luego el tipo de cifrado (AES, Slowfish, 3DES, Twofish, Cast6 y Cast5) se solicitará la clave, la pregunta se especifica, lo que permite o deshabilite los archivos no informados en el directorio con cifrado, cifrados si los nombres de los archivos ... y preguntarán a la final, ¿realmente desea socavar y guardar la firma a un archivo específico. La pregunta no es tan estúpida, ya que puede parecer primero: en este software, en ausencia de firma, no hay posibilidad de distinguir la contraseña correcta del incorrecto.

Cifrado del directorio de inicio del usuario.

Durante el primer lanzamiento, es posible que deba completar varios procesos. Después del cifrado, debe ir de inmediato al usuario, y se propondrá que escriba o imprima una frase de contraseña generada para cifrado y protegido, a su vez, contraseña de usuario. Esto es necesario para la recuperación en caso de una situación de emergencia.


Advertencia para recordar la frase de contraseña

Veamos cómo restaurarlo. Supongamos que la frase de contraseña no se registra y la recuperación viene con CD en vivo. Se entiende que la FS está implantada. Ir a la casa / .ecryptfs / ROM / .Cryptfs directory and Type:

dM-Verify.
El módulo DM-Verify está diseñado para verificar la integridad de los dispositivos de bloques. La verificación se lleva a cabo con un árbol de hash, donde "hojas" - sumas de hash de bloques y "sucursales": sumas de hash de los conjuntos de "hojas". Por lo tanto, para verificar el dispositivo de bloques (ya sea una sección o un disco), basta con verificar solo una suma de comprobación.
Este mecanismo (asociado con una firma digital) se usa en algunos dispositivos Android para protegerse contra las secciones de modificación del sistema, así como en Google Chromium OS.

Conclusión
Linux contiene realmente mucho dinero para la protección de la información criptográfica. De los tres fondos descritos, al menos uno está presente en todas las distribuciones modernas de Linux. ¿Pero qué elegir?
dM-Crypt / Luks Vale la pena aplicar en los casos en los que es posible deshabilitar rápidamente el volumen encriptado y cuando copias de seguridad ya sea no necesitado o clasificado por otras formas. En este caso, esta solución es más que de manera efectiva, especialmente con el hecho de que es posible cifrar una cascada de anidación y tipo arbitrarias (por ejemplo, AES-Twofish-AES), un verdadero paraíso
Para paranoicos.
ecryptfs. Adecuado en los casos en que los datos cifrados deben guardarse en algún lugar, por ejemplo, en la nube. Proporciona una combinación bastante confiable (aunque en una variante de 128 bits utilizada por defecto, es posible reducir la resistencia criptópica en dos bits) y para que el usuario final sea transparente.
ENCF. El anciano tiene unos diez años, basado en un trabajo aún más antiguo. Hasta la fecha, no se recomienda su uso debido a posibles orificios de seguridad, pero se puede usar como multiplataforma para proteger los datos de tonterías en las nubes.

Si necesita usar tales fondos, siempre debe recordar que la protección debe ser compleja.

: - ruso

Se completa el desarrollo activo de la página.

Si tiene algo que agregar, compleme las secciones con nueva información. Nuestros errores y errores en el artículo pueden confundirse audazmente, no es necesario que lo denunen al correo, cumpla con el estilo de esta página y use los separadores de secciones (líneas grises de diferentes espesores).

Cifrado de datos en Debian

Muchos parece que no necesita cifrar sus datos. Sin embargo B. la vida cotidiana A menudo nos encontramos con tales situaciones como "unidad flash perdida" o "computadora portátil se entrega para reparar" ITP. Si sus datos están encriptados, no puede preocuparse por ellos en absoluto: nadie los publicará en Internet, o no se aprovecha de alguna otra manera.

Cifrado utilizando CryptSetup

Instale los componentes necesarios:

# Apt-get install cryptsetup

Sintaxis estándar

/ dev / sda2. Presentamos el comando:

# CryptSetup crea SDA2_CRYPT / DEV / SDA2

Este comando creará una conexión cifrada a nuestro disco. En catálogo / dev / Mapper Aparecerá un nuevo dispositivo con el nombre que solicitamos: / Dev / Mapper / SDA2_CRYPTCuando se refiere a lo que usamos el acceso cifrado al disco. En el caso del nombre de Luks será / Dev / Mapper / SDA2_CRYPT

Si el archivo ya ha tenido un sistema de archivos y nos gustaría guardar datos en él, debe realizar su cifrado para el uso posterior:

# DD if \u003d / dev / sda2 de \u003d / dev / Mapper / SDA2_Crypt

Si se crea nuevo disco En una sección vacía, puede formatearlo:

# MKFS.EXT3 / DEV / MAPPER / SDA2_CRYPT

Posteriormente, será posible montar este disco en cualquier lugar:

# Monte / dev / Mapper / SDA2_Crypt / Ruta / a / Mount / Point

Verifique la integridad de los datos (como de costumbre, es mejor usar solo desmontable):

# Fsck.ext3 / dev / Mapper / SDA2_Crypt

E incluso descifrar si ya no queremos usar el cifrado:

# DD IF \u003d / DEV / MAPPER / SDA2_CRYPT DE \u003d / DEV / SDA2

Sintaxis de Luks

Las acciones anteriores se pueden realizar de acuerdo con los Luks Standard.

Inicializa la sección:

CryptSetup LuksFormat / Dev / SDA2

Conectar al sistema:

CryptSetup Luksopen / dev / sda2 sda2_crypt

Formato:

MKFS.EXT4 -V -L DATOS / DEV / MAPPER / SDA2_CRYPT

Montar:

Monte / dev / Mapper / SDA2_CRYPT / MNT / DATOS

La sección se puede deshabilitar manualmente sobre el sistema.

CryptSetup Luksclose SDA2_CRYPT.

Conexión al inicio

El archivo se utiliza para este propósito. cripttab..

Para nuestro disco lloró en él. proxima linea:

NANO / ETC / CryptTab # NOMBRE DE APARTAMENTO DE MAPPER Configuración de la tecla / Opciones # con sintaxis estándar SDA2_CRYPT / DEV / SDA2 Ninguna AES-CBC-PLANTE: SHA256 # y \\ o debajo de Luks SDA2_CRYPT / DEV / SDA2 Ninguno Luks

De forma predeterminada, se utiliza la contraseña ingresada el cifrado del usuario. Por lo tanto, cada vez que descarga su sistema informático le pedirá que cada vez que tenga una contraseña para conectar cada partición cifrada. Incluso si en FSTAB, estas secciones no se explican.

Si queremos montar manualmente, agregue la opción nOAUTO. En el campo "Parámetros / opciones".

Conexión manualmente la sección cifrada de acuerdo con los datos de / etc / crypttab

Cryptdisks_start msda2_crypt.

Y apagado con un FS pre desmontado.

CryptDisks_Stop SDA2_CRYPT

Para montar automáticamente la FS en la sección cifrada conectada, agregue una cadena a / etc / fstab

/ Dev / Mapper / SDA2_CRYPT / MNT / DATAT EXT4 Predeterminado 0 0

Trabaja con llaves en Luks

La sección LUKS admite 8 teclas diferentes, cada una de las cuales se coloca en su ranura.

Veamos la lista de claves utilizadas.

CryptSetup Luksdump / dev / sda2

Luks puede usar 2 tipos de teclas: frases y archivos clave.

Puedes agregar frase clave

CryptSetup Luksaddkey / dev / sda2

Puede agregar un archivo clave (2048 bits) y establecer derechos de acceso a él.

DD if \u003d / dev / urandom of \u003d / raíz / ext2.key bs \u003d 512 Count \u003d 4 CryptSetup Luksaddkey / dev / sda2 /root/ext2.key chmod 400 /root/sda2.key cryptsetup -d /root/sda2.key Luksopen / Dev / SDA2 SDA2_CRYPT

Para conectarse al iniciar la tecla / etc / crypttab

Nano / etc / crypttab sda2_crypt / dev / sda2 /root/sda2.key luks

Puede eliminar la frase clave o la clave de la sección.

CryptSetup Lukskillslot / dev / sda2 1

Montaje de emergencia en la distribución "Strank"

Nadie está asegurado contra problemas y, a veces, debe acceder a la partición cifrada del disco LiveCD de emergencia.

Carga, conecte la sección al sistema y monte el FS:

CryptSetup Luksopen / dev / SDA2 SDA2_CRYPT MOUNT -T EXT4 / DEV / MAPPER / SDA2_CRYPT / MNT / BACKUP

Después del trabajo, desmonte la FS y apague la sección cifrada del sistema

Umount / mnt / backup cryptsetup luksclose sda2_crypt

Mensajes de error al apagar

Si la sección raíz está encriptada, entonces cuando apagas el mensaje se emitirá

Detener los discos tempranos de Crypto ... Falló

Este es un error técnico. Cuando se apaga, en primer lugar, los sistemas de archivos siempre se desmontan y solo se apaga la partición. Como resultado, resulta que la utilidad CryptSetup ubicada en la sección no montada en la raíz ya es inexplicable para el lanzamiento, lo que somos init e informes. Sin muletas, tal problema no se resuelve, porque Para hacer esto, debemos considerar las opciones con la transferencia de CryptSetup en el disco RAM

Una situación similar se pliega y cuando se utiliza una redada de software que contiene la sección raíz. ocho)

Cifrado utilizando el módulo Loop-AES

Cifrado de la sección del disco duro, las unidades flash usando una contraseña

En esto cÓMO Se describe el método de cifrado. AES256.Otros métodos se pueden aplicar de manera similar (reemplazando el nombre del método a la apropiación). Necesitaremos los siguientes paquetes:

# Apt-get install bucle-aes-utils bucle-aes-módulos -`uname -r`

Nota: Si usa el kernel para el cual en el repositorio no se necesitan módulos de bucle-AES necesarios, puede configurar los módulos por los siguientes comandos:

# Apt-get instale módulo-asistente de bucle-AES-Source # Module-Assistant A-I Loop-AES

Primera etapa

En la etapa inicial, preparamos el disco para trabajar con él utilizando el cifrado.

Seleccione una sección del disco (o unidades flash) que queremos cifrar, por ejemplo, será / dev / sda2. Presentamos el comando:

# Losetup -e AES256 -T / dev / loup0 / dev / sda2

Después de realizar este comando, todos apelan al dispositivo. / Dev / loop0 será encriptado y en una forma encriptada redirigir al dispositivo / dev / sda2. Ahora tenemos canales incontrolados simultáneamente y sin almacenamiento al dispositivo de almacenamiento. Los datos se cifran utilizando la contraseña que especificó al ejecutar losEstup.

Ahora podemos, por ejemplo, formatear el dispositivo:

# Mkfs.ext3 / dev / loop0

Podemos montarlo:

# Monte / dev / Loop0 / Ruta / a / Monte

podemos deshabilitar el cifrado:

# Losetup -d / dev / loop0

y lo más importante, podemos cifrar la sección. sin pérdida de datos:

# DD if \u003d / dev / sda2 de \u003d / dev / loup0

y también descifre si decidimos que el cifrado no es nuestro método:

# Dd if \u003d / dev / loup0 of \u003d / dev / sda2

Bueno, lo más agradable, podemos verificar el sistema de archivos para la integridad:

# Fsck.ext3 / dev / loop0

Esta función no está disponible en todos los métodos de cifrado de secciones.

Uso diario

Si ya ha tenido una sección en la sección. / dev / sda2 en tus / etc / fstabDebe agregar opciones, y si no se trata de lo siguiente:

/ Dev / sda2 / ruta / a / monte ext3 loico, cifrado \u003d AES256 0 0

Ahora, al cargar el sistema operativo, se le solicitará una contraseña para el montaje.

Si no desea que el proceso de arranque sea interrumpido por la solicitud de contraseña, puede agregar opciones nOAUTO.,usuario. Escrito / etc / fstab:

/ Dev / sda2 / ruta / a / monte ext3 bucle, cifrado \u003d AES256, NOAUTO, USUARIO 0 0

Por supuesto, puede burlarse manualmente (o desde el script):

# Monte / dev / sda2 / ruta / a / mount -o bucle, cifrado \u003d AES256

Montaje de sistemas de archivos múltiples

A veces quiero cifrar encriptadamente varias secciones con los datos, pero para no entrar en las contraseñas de mar para cada montar. Por ejemplo, tiene una unidad flash que lleva desde casa al trabajo, Winchester portátil, etc. O solo algunas secciones / discos duros.

Supongamos que tenemos una sección cifrada. / dev / sda2que en cada descarga montada en el catálogo / Mnt1. Apareció un nuevo Winchester. / dev / sdb1 Y lo queremos automáticamente montado en el catálogo. mNT2. Al montar el primero. Puedes por supuesto crear sistema general en algo como Lvm.Sin embargo, puedes y fácilmente irás:

prescribamos B. fstab Aproximadamente la siguiente línea:

/ Dev / sda2 / mnt1 ext3 noatime, ejecutivo, bucle, cifrado \u003d AES256 0 0 / dev / sdb1 / mnt2 ext3 noatime, ejecutivo, bucle, cifrado \u003d AES256, ClearTextkey \u003d / MNT1 / KEY.TXT 0 0

El sistema al cargar los puntos de montaje en el mismo orden que se describe en fstabPor lo tanto, si la primera partición no está montada, la clave para montar la segunda partición permanecerá inaccesible y la segunda partición no se montará.

La contraseña se almacena como tEXTO SIN FORMATO. Ciertamente, no es muy hermoso, pero se almacena en una sección cifrada (que se puede desmontar). Puedes usar en su lugar gPG.-Buele, sin embargo, esto no agregará mucha seguridad (si puede cavar una tecla, entonces habrá una gran diferencia de lo que esta clave no), la opción de cifrado con gPG.-Chelch es descrito por B. hombre losetup., aquí solo daré un ejemplo de escritura en fstab:

/ Dev / sda2 / mnt1 ext3 noatime, ejecutivo, bucle, cifrado \u003d AES256 0 0 / dev / sdb1 / mnt2 ext3 noatime, ejecutivo, bucle, cifrado \u003d AES256, GPGKEY \u003d / MNT1 / KEY.GPG 0 0

Notas

Para obtener más información sobre los algoritmos de cifrado compatibles, consulte hombre losetup., También puedo ver la descripción de otras opciones del programa. losetup..

Si tiene problemas para instalar los módulos AES, lea la documentación que se ejecuta con el paquete fuente de Loop-AES.

Grub y disco raíz encriptado.

Al instalar la partición raíz en el disco GRUB cifrado, puede mostrar las grietas en el menú principal. Esto se debe a la falta de disponibilidad de la fuente estándar /USR/SHARE/GRUB/UNICODE.PF2. Copiar la fuente

cp /usr/share/grub/unicode.pf2 / boot / grub /

Indicar la configuración

Nano / etc / default / grub grub_font \u003d / boot / grub / unicode.pf2

Aplicar la configuración:

Actualización-grub.