Ez egy nagyon hasznos program a cryptsetup társaságában, ami próbálja ugye egységesíteni a Linux alatt található különböző titkosítási alternatívákat. Használatával pofon egyszerűen tudunk dolgozni. Itt mi most egy komplett merevlemezt fogunk titkosítani Debian 9 alatt. Erre természetesen rá lehetne húzni még lvm-et, hogy még rugalmasabb, kényelmesebb a dolog, de itt most az egyszerűség a cél. Lényegében csak a saját adatainkat szeretnénk biztos helyen tudni pl. egy külső merevlemezen, amit ha esetleg ellopnak vagy elhagyunk, akkor ne férhessenek hozzá a féltve orzott tartalmainkhoz. Maga ez az alternatíva, amikor blokk eszközöket titkosítunk, nem véd meg minket futó környezetben, ha pl. feltörik a számítógépünket, mert nem fájltitkosítást végez. Arra más alternatívák vannak, mint egy titkosított privát felhő seafile vagy nextcloud-al stb. Nah, de kezdjünk is neki.
1. A Luks telepítése
a) Debian alapú disztribúciók esetén
root@wolfi#:/ apt install cryptsetup
b) Redhat vagy Cantos alapú disztribúciók esetén
root@wolfi#:/ yum install cryptsetup-luks
2. A Luks alatti blokk eszköz titkosítása, előkészítése formázásra
Elsőnek lépésben keressük meg, hogy melyik partíció az, amit titkosítani szeretnénk. Legyünk óvatosak, nehogy a rendszert formázzuk le véletlenül, mivel a következő lépésben le fogjuk a luks titkosított fájlrendszerével titkosítani a dolgokat.
root@wolfi#: ls /dev | grep sd
sda
sda1
sda2
sdb
Mint az szépen kitűnik, nekünk az utolsó /dev/sdb kötetre lesz szükségünk, a frissen a géphez csatlakoztatott merevlemezen még partíció sincs létrehozva, melyet az sd[abc] utáni számok jelölnek.
a) Diszk formázásakor, amikor felteszi a kérdését, hogy biztosak vagyunk a műveletben, írjunk be neki egy nagy YES-t, különben enter leütésre vagy kis yes-re nem fog elindulni. Majd adjuk meg a jelszavunkat, amivel titkosítani fogjuk az adatainkat. Természetesen használhatunk kulcs fájlokat is, de ha távolról szeretnénk mondjuk felmountolni, kellemesebb ezt megtenni egy jelszóval, aminek a maximális hossza 512 karakter lehet. Én ezt választanám, egy pvgen -C 512 -n1 segítségével gyönyörű szépen le lehet generálni és eltárolni egy titkosított jelszókezelő alkalmazásban, mint pl. a KeePass. Mellyet ssn utána pl. be tudok egyszerűen illeszteni és felcsatolni a rendszer betöltődése után.
root@wolfi#:/ cryptsetup -y -v luksFormat /dev/sdb
b) A blokkeszköz létrehozása a mapper-ben. Itt adjuk meg a jelszavunkat.
root@wolfi#:/ cryptsetup open --type luks /dev/sdb kulso-hdd
c) Kötet információk ellenőrzése.
root@wolfi#:/ cryptsetup -v status kulso-hdd
d) Ellenőrizzük, hogy sikeresen letitkosítottuk e a kötetünket.
root@wolfi#:/ cryptsetup luksDump /dev/sdb
e) Most, hogy már kész a kötetünk, töltsük fel nullákkal. Ez egy hosszabb folyamat, el fog telni egy darabig, amíg végez. Viszont csak opcionális, de mivel ennek hatására már a teljes diszken titkosított adatok lesznek, így a jövőben nehezebben állapítható meg, hogy valójában hová is kerültek a mi titkosított adataink az adathalmaz közepén.
root@wolfi#:/ pv -tpreb /dev/zero | dd of=/dev/mapper/kulso-hdd bs=128M
3. Formázás, mountolás, lecsatolás
a) Elérkezett ez a pillanat is, hogy formázhatjuk az eszközünket a számunkra szimpatikus fájlrendszerrel, én maradok a jól bevált ext4-nél.
root@wolfi#:/ mkfs.ext4 /dev/mapper/kulso-hdd
b) Mountolás
root@wolfi#:/ mount -t ext4 /dev/mapper/kulso-hdd /mnt/valahova
c) Biztonságos lecsatolás eltávolítás előtt, ha már nincs rá szükségünk.
root@wolfi#:/ umount /mnt/valahova
root@wolfi#:/ cryptsetup close kulso-hdd
4. Végszó
Nagyjából ennyiből tart egy teljes merevlemez titkosítása, amelyen biztonságosan tárolhatunk az adatainkat anélkül, hogy félnünk kellene, hogy azok illetéktelen kezekbe kerülve is hozzáférhetővé válhatnak.
Forrás
https://www.ibm.com/support/knowledgecenter/en/SS6PEW_9.5.0/com.ibm.help.security.dimeanddare.doc/security/t_security_settingupluksencryption.html
Legutóbbi hozzászólások