Giunsa ang Pag-setup sa Mga Naka-encrypt nga Filesystem ug Pag-swap Space Gamit ang Cryptsetup Tool sa Linux - Bahin 3
Usa ka LFCE (mubo sa Linux Foundation Certified Engineer) gibansay ug adunay kahanas sa pag-instalar, pagdumala, ug pag-troubleshoot sa mga serbisyo sa network sa mga sistema sa Linux, ug maoy nagdumala sa disenyo, pagpatuman ug padayon nga pagmentinar sa arkitektura sa sistema.
Pagpaila sa Linux Foundation Certification Program (LFCE).
Ang ideya sa luyo sa pag-encrypt mao ang pagtugot sa mga kasaligan nga tawo lamang nga maka-access sa imong sensitibo nga datos ug mapanalipdan kini gikan sa pagkahulog sa sayup nga mga kamot kung mawala o kawat ang imong makina/hard disk.
Sa yano nga mga termino, ang usa ka yawe gigamit sa \lock nga pag-access sa imong kasayuran, aron kini magamit kung ang sistema nagdagan ug giablihan sa usa ka awtorisado nga tiggamit. Kini nagpasabut nga kung ang usa ka tawo mosulay sa susiha ang mga sulod sa disk (pag-plug niini sa iyang kaugalingong sistema o pinaagi sa pag-boot sa makina gamit ang LiveCD/DVD/USB), makit-an ra niya ang dili mabasa nga datos imbes sa aktuwal nga mga file.
Niining artikuloha atong hisgotan kon unsaon pag-set up ang mga encrypted file system nga adunay dm-crypt (mubo sa device mapper ug cryptographic), ang standard nga kernel-level encryption tool. Palihug timan-i nga tungod kay ang dm-crypt kay block-level nga himan, kini magamit lamang sa pag-encrypt sa tibuok nga mga himan, partisyon, o mga loop device (dili magamit sa regular nga mga file o mga direktoryo).
Pag-andam sa usa ka Drive/Partition/Loop Device alang sa Encryption
Tungod kay atong papason ang tanang data nga anaa sa atong gipili nga drive (/dev/sdb), una sa tanan, kinahanglan namong i-backup ang bisan unsang importanteng file nga anaa sa maong partition BEFORE nagpadayon pa.
Pagpahid sa tanang datos gikan sa /dev/sdb. Atong gamiton ang dd nga sugo dinhi, apan mahimo usab nimo kini gamit ang ubang mga himan sama sa shred. Sunod, maghimo kami usa ka partisyon sa kini nga aparato, /dev/sdb1, pagsunod sa katin-awan sa Bahin 4 - Paghimo Mga Partisyon ug Filesystem sa Linux sa serye sa LFCS.
# dd if=/dev/urandom of=/dev/sdb bs=4096
Sa dili pa kita mopadayon, kinahanglan natong sigurohon nga ang atong kernel natipon sa suporta sa pag-encrypt:
# grep -i config_dm_crypt /boot/config-$(uname -r)
Sama sa gilatid sa hulagway sa ibabaw, ang dm-crypt kernel module kinahanglang i-load aron ma-set up ang encryption.
Ang Cryptsetup kay usa ka frontend interface para sa paghimo, pag-configure, pag-access, ug pagdumala sa mga naka-encrypt nga file system gamit ang dm-crypt.
# aptitude update && aptitude install cryptsetup [On Ubuntu] # yum update && yum install cryptsetup [On CentOS] # zypper refresh && zypper install cryptsetup [On openSUSE]
Ang default operating mode para sa cryptsetup mao ang LUKS (Linux Unified Key Setup) mao nga kami magpabilin niini. Magsugod kita pinaagi sa pagpahimutang sa partisyon sa LUKS ug sa passphrase:
# cryptsetup -y luksFormat /dev/sdb1
Ang sugo sa ibabaw nagpadagan cryptsetup nga adunay default nga mga parameter, nga mahimong ilista uban sa,
# cryptsetup --version
Kung gusto nimong usbon ang cipher, hash, o key nga mga parametro, mahimo nimong gamiton ang –cipher, < b>–hash, ug –key-size nga mga bandera, matag usa, uban ang mga bili nga gikuha gikan sa /proc/crypto.
Sunod, kinahanglan namon nga ablihan ang partisyon sa LUKS (giaghat kami alang sa passphrase nga among gisulod kaniadto). Kung ang authentication molampos, ang among na-encrypt nga partisyon mahimong magamit sa sulod sa /dev/mapper nga adunay piho nga ngalan:
# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
Karon, atong i-format ang partition isip ext4.
# mkfs.ext4 /dev/mapper/my_encrypted_partition
ug paghimo og mount point aron i-mount ang encrypted partition. Sa katapusan, mahimo natong kumpirmahon kung ang operasyon sa pag-mount milampos.
# mkdir /mnt/enc # mount /dev/mapper/my_encrypted_partition /mnt/enc # mount | grep partition
Kung nahuman ka na sa pagsulat o pagbasa gikan sa imong naka-encrypt nga sistema sa file, i-unmount lang kini
# umount /mnt/enc
ug isara ang partisyon sa LUKS gamit ang,
# cryptesetup luksClose my_encrypted_partition
Sa katapusan, among susihon kung luwas ba ang among naka-encrypt nga partisyon:
1. Ablihi ang LUKS partition
# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
2. Isulod ang imong passphrase
3. I-mount ang partition
# mount /dev/mapper/my_encrypted_partition /mnt/enc
4. Paghimo og dummy file sulod sa mount point.
# echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt
5. I-verify nga ma-access nimo ang file nga bag-o lang nimo gibuhat.
# cat /mnt/enc/testfile.txt
6. I-unmount ang file system.
# umount /mnt/enc
7. Isira ang partisyon sa LUKS.
# cryptsetup luksClose my_encrypted_partition
8. Sulayi nga i-mount ang partition isip usa ka regular nga file system. Kini kinahanglan nga magpakita sa usa ka sayup.
# mount /dev/sdb1 /mnt/enc
I-encrypt ang Swap Space para sa Dugang nga Seguridad
Ang passphrase nga imong gisulod sa sayo pa aron gamiton ang na-encrypt nga partition gitipigan sa RAM nga panumduman samtang kini bukas. Kung adunay makakuha sa iyang mga kamot sa kini nga yawe, mahimo niyang ma-decrypt ang datos. Kini labi ka dali nga buhaton sa kaso sa usa ka laptop, tungod kay samtang nag-hibernate ang mga sulud sa RAM gitipigan sa swap partition.
Aron malikayan ang pagbilin ug kopya sa imong yawe nga ma-access sa usa ka kawatan, i-encrypt ang swap partition subay niining mga lakang:
1 Paghimo og partition nga gamiton isip swap nga adunay tukma nga gidak-on (/dev/sdd1 sa among kaso) ug i-encrypt kini sama sa gipatin-aw sa sayo pa. Ngalan lang kini og \swap” alang sa kasayon.’
2.Ibutang kini isip swap ug i-activate kini.
# mkswap /dev/mapper/swap # swapon /dev/mapper/swap
3. Sunod, usba ang katugbang nga entry sa /etc/fstab.
/dev/mapper/swap none swap sw 0 0
4. Sa kataposan, i-edit ang /etc/crypttab ug i-reboot.
swap /dev/sdd1 /dev/urandom swap
Kung nahuman na ang sistema sa pag-boot, mahimo nimong pamatud-an ang kahimtang sa swap space:
# cryptsetup status swap
Summary
Sa kini nga artikulo among gisuhid kung giunsa ang pag-encrypt sa usa ka partisyon ug pagbaylo sa wanang. Uban niini nga setup, ang imong data kinahanglan nga labi ka luwas. Ayaw pagduhaduha sa pag-eksperimento ug ayaw pagpanuko sa pagbalik kanamo kung naa kay mga pangutana o komento. Gamita lang ang porma sa ubos - malipay kami nga makadungog gikan kanimo!