Oldal kiválasztása

Ez egy nagyon hasznos program a cryptsetup társaságában, ami próbálja ugye egységesíteni a Linux alatt található különböző titkosítási alternatívákat. Használatával pofon egyszerűen tudunk dolgozni. Itt  mi most egy komplett merevlemezt fogunk titkosítani Debian 9 alatt. Erre természetesen rá lehetne húzni még lvm-et, hogy még rugalmasabb, kényelmesebb a dolog, de itt most az egyszerűség a cél. Lényegében csak a saját adatainkat szeretnénk biztos helyen tudni pl. egy külső merevlemezen, amit ha esetleg ellopnak vagy elhagyunk, akkor ne férhessenek hozzá a féltve orzott tartalmainkhoz. Maga ez az alternatíva, amikor blokk eszközöket titkosítunk, nem véd meg minket futó környezetben, ha pl. feltörik a számítógépünket, mert nem fájltitkosítást végez. Arra más alternatívák vannak, mint egy titkosított privát felhő seafile vagy nextcloud-al stb. Nah, de kezdjünk is neki.

1. A Luks telepítése

a) Debian alapú disztribúciók esetén

root@wolfi#:/ apt install cryptsetup

b) Redhat vagy Cantos alapú disztribúciók esetén

root@wolfi#:/ yum install cryptsetup-luks

2. A Luks alatti blokk eszköz titkosítása, előkészítése formázásra

Elsőnek lépésben keressük meg, hogy melyik partíció az, amit titkosítani szeretnénk. Legyünk óvatosak, nehogy a rendszert formázzuk le véletlenül, mivel a következő lépésben le fogjuk a luks titkosított fájlrendszerével titkosítani a dolgokat.

root@wolfi#: ls /dev | grep sd

sda
sda1
sda2
sdb

Mint az szépen kitűnik, nekünk az utolsó /dev/sdb kötetre lesz szükségünk, a frissen a géphez csatlakoztatott merevlemezen még partíció sincs létrehozva, melyet az sd[abc] utáni számok jelölnek.

a) Diszk formázásakor, amikor felteszi a kérdését, hogy biztosak vagyunk a műveletben, írjunk be neki egy nagy YES-t, különben enter leütésre vagy kis yes-re nem fog elindulni. Majd adjuk meg a jelszavunkat, amivel titkosítani fogjuk az adatainkat. Természetesen használhatunk kulcs fájlokat is, de ha távolról szeretnénk mondjuk felmountolni, kellemesebb ezt megtenni egy jelszóval, aminek a maximális hossza 512 karakter lehet. Én ezt választanám, egy pvgen -C 512 -n1 segítségével gyönyörű szépen le lehet generálni és eltárolni egy titkosított jelszókezelő alkalmazásban, mint pl. a KeePass. Mellyet ssn utána pl. be tudok egyszerűen illeszteni és felcsatolni a rendszer betöltődése után.

root@wolfi#:/ cryptsetup -y -v luksFormat /dev/sdb

b) A blokkeszköz létrehozása a mapper-ben. Itt adjuk meg a jelszavunkat.

root@wolfi#:/ cryptsetup open --type luks /dev/sdb kulso-hdd

c) Kötet információk ellenőrzése.

root@wolfi#:/ cryptsetup -v status kulso-hdd

d) Ellenőrizzük, hogy sikeresen letitkosítottuk e a kötetünket.

root@wolfi#:/ cryptsetup luksDump /dev/sdb

e) Most, hogy már kész a kötetünk, töltsük fel nullákkal. Ez egy hosszabb folyamat, el fog telni egy darabig, amíg végez. Viszont csak opcionális, de mivel ennek hatására már a teljes diszken titkosított adatok lesznek, így a jövőben nehezebben állapítható meg, hogy valójában hová is kerültek a mi titkosított adataink az adathalmaz közepén.

root@wolfi#:/ pv -tpreb /dev/zero | dd of=/dev/mapper/kulso-hdd bs=128M

3. Formázás, mountolás, lecsatolás

a) Elérkezett ez a pillanat is, hogy formázhatjuk az eszközünket a számunkra szimpatikus fájlrendszerrel, én maradok a jól bevált ext4-nél.

root@wolfi#:/ mkfs.ext4 /dev/mapper/kulso-hdd

b) Mountolás

root@wolfi#:/ mount -t ext4 /dev/mapper/kulso-hdd /mnt/valahova

c) Biztonságos lecsatolás eltávolítás előtt, ha már nincs rá szükségünk.

root@wolfi#:/ umount /mnt/valahova

root@wolfi#:/ cryptsetup close kulso-hdd

4. Végszó

Nagyjából ennyiből tart egy teljes merevlemez titkosítása, amelyen biztonságosan tárolhatunk az adatainkat anélkül, hogy félnünk kellene, hogy azok illetéktelen kezekbe kerülve is hozzáférhetővé válhatnak.

Forrás

https://www.ibm.com/support/knowledgecenter/en/SS6PEW_9.5.0/com.ibm.help.security.dimeanddare.doc/security/t_security_settingupluksencryption.html