LUKS: Linux merevlemez-adattitkosítás NTFS támogatással Linux alatt
A LUKS mozaikszó a Linux Unified Key Setup rövidítése, amely a Linux Kernel által széles körben használt lemeztitkosítási módszer, és a cryptsetup csomaggal valósítják meg.
A cryptsetup parancssor menet közben titkosítja a kötetlemezt a mellékelt jelmondatból származó szimmetrikus titkosítási kulccsal, amelyet minden alkalommal megadnak, amikor egy kötetlemezt, egy partíciót és egy teljes lemezt (akár USB-meghajtót is) csatlakoztatnak. fájlrendszer-hierarchiát, és az aes-cbc-essiv:sha256 titkosítást használja.
Mivel a LUKS képes titkosítani a teljes blokkeszközöket (merevlemezek, USB pendrive-ok, Flash lemezek, partíciók, kötetcsoportok stb.) Linux rendszereken, nagymértékben ajánlott a cserélhető adathordozók, laptop merevlemezek vagy Linux cserefájlok védelmére, és nem ajánlott fájlokhoz. szintű titkosítás.
Az NTFS (New Technology File System) a Microsoft által kifejlesztett, védett fájlrendszer.
Az Ubuntu 14.04 teljes mértékben támogatja a LUKS titkosítást, valamint az NTFS natív támogatását a Windows számára az ntfs-3g csomag segítségével.
Hogy bizonyítsam álláspontomat ebben az oktatóanyagban, hozzáadtam egy új merevlemezt (4.) az Ubuntu 14.04 dobozhoz (az újonnan hozzáadott HDD rendszerhivatkozása: /dev/sdd ), amelyet két partícióra osztanak fel.
- Egy partíció (/dev/sdd1 -primary) a LUKS titkosításhoz használatos.
- A második partíció (/dev/sdd5 – kiterjesztett) NTFS-t formázott az adatok eléréséhez Linux és Windows alapú rendszereken egyaránt.
A partíciók szintén automatikusan fel lesznek csatolva az Ubuntu 14.04-re az újraindítás után.
1. lépés: Hozzon létre lemezpartíciókat
1. Miután a merevlemezt fizikailag hozzáadta a géphez, használja az ls parancsot az összes /dev/devices listázásához (a negyedik lemez a /dev/sdd).
ls /dev/sd*
2. Ezután ellenőrizze az újonnan hozzáadott HDD-t az fdisk paranccsal.
sudo fdisk –l /dev/sdd
Mivel nem írták meg a fájlrendszert, így a lemez még nem tartalmaz érvényes partíciós táblát.
3. A következő lépések a cfdisk lemezsegédprogrammal kétpartícióra vágják a merevlemezt.
sudo cfdisk /dev/sdd
4. A következő képernyő megnyitja a cfdisk interaktív módot. Válassza ki a Szabad hely merevlemezét, és navigáljon az Új lehetőséghez a bal/jobb nyilak segítségével.
5. Válassza ki a partíció típusát Elsődlegesként, és nyomja meg az Enter billentyűt.
6. Írja le a kívánt partícióméretet MB-ben.
7. Hozza létre ezt a partíciót a szabad merevlemez-terület elején.
8. Ezután lépjen a partíció Típusa lehetőségéhez, és nyomja meg az Enter billentyűt.
9. A következő prompt az összes fájlrendszer típusát és azok számkódját ( Hexa szám) tartalmazza. Ez a partíció Linux LUKS titkosítású lesz, ezért válassza a 83 kódot, és nyomja meg ismét az Enter billentyűt a partíció létrehozásához.
10. Létrejön az első partíció, és a cfdisk segédprogram prompt visszatér az elejére. Az NTFSként használt második partíció létrehozásához válassza ki a fennmaradó szabad területet, lépjen az Új lehetőségre, és nyomja meg az Enter billentyűt. .
11. Ezúttal a partíció Extended Logical lesz. Tehát lépjen a Logikai lehetőségre, és nyomja meg ismét az Enter billentyűt.
12. Adja meg újra a partíció méretét. Ha a fennmaradó szabad területet új partícióként szeretné használni, hagyja meg az alapértelmezett méretet, és nyomja meg az Enter billentyűt.
13. Ismét válassza ki a partíciótípus kódját. Az NTFS fájlrendszerhez válassza a 86 kötetkódot.
14. A partíciók áttekintése és ellenőrzése után válassza az Írás lehetőséget, válaszoljon igen a következő interaktív kérdésre, majd Kilépés a kilépéshez b>cfdisk segédprogram.
Gratulálunk ! A partíciókat sikeresen létrehoztuk, és készen állnak a formázásra és a használatra.
15. A partíciós tábla lemez ismételt ellenőrzéséhez adja ki újra az fdisk parancsot, amely részletes partíciós tábla információkat jelenít meg.
sudo fdisk –l /dev/sdd
2. lépés: Hozzon létre partíciós fájlrendszert
NTFS fájlrendszer
16. Az NTFS fájlrendszer létrehozásához a második partíción futtassa az mkfs parancsot.
sudo mkfs.ntfs /dev/sdd5
17. A partíció elérhetővé tételéhez a fájlrendszeren kell csatolni egy csatolási ponthoz. Csatlakoztassa a második partíciót a negyedik merevlemezen a /opt csatolási ponthoz a mount paranccsal.
sudo mount /dev/sdd5 /opt
18. Ezután ellenőrizze, hogy a partíció elérhető-e, és szerepel-e az /etc/mtab fájlban a cat paranccsal.
cat /etc/mtab
19. A partíció leválasztásához használja a következő parancsot.
sudo umount /opt
EXT4 LUKS
20. Győződjön meg arról, hogy a cryptsetup csomag telepítve van a rendszeren.
sudo apt-get install cryptsetup [On Debian Based Systems]
yum install cryptsetup [On RedHat Based Systems]
21. Itt az ideje formázni az első partíciót a negyedik merevlemezen ext4 fájlrendszerrel a következő parancs kiadásával.
sudo luksformat -t ext4 /dev/sdd1
Válaszoljon nagybetűvel IGEN a „Biztos benne?” kérdésre, és írja be háromszor a kívánt jelszót.
Megjegyzés: A partíció méretétől és a HDD sebességétől függően a fájlrendszer létrehozása eltarthat egy ideig.
22. Ellenőrizheti a partíció eszköz állapotát is.
sudo cryptsetup luksDump /dev/sdd1
23. A LUKS legfeljebb 8 jelszó hozzáadását támogatja. Jelszó hozzáadásához használja a következő parancsot.
sudo cryptsetup luksAddKey /dev/sdd1
Jelszó eltávolításához használja.
sudo cryptsetup luksRemoveKey /dev/sdd1
24. Ahhoz, hogy ez a Titkosított partíció aktív legyen, rendelkeznie kell egy névbejegyzéssel (inicializálva) a /dev/mapper könyvtárba a következő segítségével: cryptsetup csomag.
Ehhez a beállításhoz a következő parancssori szintaxis szükséges:
sudo cryptsetup luksOpen /dev/LUKS_partiton device_name
Ahol az „eszköz_neve” tetszőleges leíró név lehet! (Az enyémnek a crypted_volume nevet adtam). A tényleges parancs az alábbiak szerint fog kinézni.
sudo cryptsetup luksOpen /dev/sdd1 crypted_volume
25. Ezután ellenőrizze, hogy eszköze szerepel-e a /dev/mapper listában, a könyvtárban, a szimbolikus hivatkozásban és az eszköz állapotában.
ls /dev/mapper
ls –all /dev/mapper/encrypt_volume
sudo cryptsetup –v status encrypt_volume
26. Most, hogy a partíciós eszközt széles körben elérhetővé tegye, csatlakoztassa a rendszerére egy csatolási pont alatt a mount paranccsal.
sudo mount /dev/mapper/crypted_volume /mnt
Mint látható, a partíció fel van szerelve és hozzáférhető adatírásra.
27. Az elérhetetlenné tételhez egyszerűen válassza le a rendszerről, és zárja be az eszközt.
sudo umount /mnt
sudo cryptsetup luksClose crypted_volume
3. lépés: Partíció automatikus rögzítése
Ha rögzített merevlemezt használ, és mindkét partíciót automatikusan fel kell szerelni a rendszerre az újraindítás után, kövesse ezt a két lépést.
28. Először szerkessze az /etc/crypttab fájlt, és adja hozzá a következő adatokat.
sudo nano /etc/crypttab
- Célnév: Az eszköz leíró neve (lásd a fenti 22. pontot az EXT4 LUKS oldalon).
- Forrásmeghajtó: A LUKS számára formázott merevlemez-partíció (lásd a fenti 21. pontot az EXT4 LUKS-on).
- Kulcsfájl: Válasszon egyet sem
- Opciók: Adja meg a lukot
Az utolsó sor az alábbiak szerint fog kinézni.
encrypt_volume /dev/sdd1 none luks
29. Ezután szerkessze a /etc/fstab fájlt, és adja meg az eszköz nevét, a csatlakozási pontot, a fájlrendszer típusát és egyéb beállításokat.
sudo nano /etc/fstab
Az utolsó sorban használja a következő szintaxist.
/dev/mapper/device_name (or UUID) /mount_point filesystem_type options dump pass
És adja hozzá a konkrét tartalmat.
/dev/mapper/encrypt_volume /mnt ext4 defaults,errors=remount-ro 0 0
30. Az UUID eszköz lekéréséhez használja a következő parancsot.
sudo blkid
31. A korábban létrehozott NTFS partíciótípus hozzáadásához használja a fenti szintaxist az fstab új sorában (itt a Linux-fájl hozzáfűzése átirányítás használt ).
sudo su -
echo "/dev/sdd5 /opt ntfs defaults 0 0" >> /etc/fstab
32. A változtatások ellenőrzéséhez indítsa újra a gépet, nyomja meg az Enter billentyűt a „Hálózati eszköz konfigurálásának indítása” rendszerindító üzenet után, és írja be eszközének jelszója.
Amint láthatja, mindkét lemezpartíció automatikusan fel lett csatolva az Ubuntu fájlrendszer-hierarchiára. Javasoljuk, hogy ne használjon automatikusan titkosított köteteket az fstab fájlból fizikailag távoli kiszolgálókon, ha nem fér hozzá az újraindítási sorrendhez a titkosított kötet jelszavának megadásához.
Ugyanazok a beállítások alkalmazhatók minden típusú cserélhető adathordozón, mint például USB stick, Flash memória, külső merevlemez stb., hogy lehallgatás vagy lopás esetén megóvják a fontos, titkos vagy érzékeny adatokat.