Hogyan titkosítja az egész lemezt, és Linux operációs rendszer
Azt hiszem, mindenki egyre gondolt, hogyan védekezhet vagy a szerver esetén, ha jönnek hívatlan „vendég” álruhában. Szóval felbukkant a megvédeniük a helyi média szerver támadások, eltölteni egy pár napot gugleniya és olvasási utasítás / howto - Tudtam, hogy észre ezt. Azt kell, hogy mondjam, a titkosítás cikkek sokat, de alapvetően úgy tervezték, hogy titkosítja csak bizonyos részei vagy elavult / tartalmaz sok hiba.
1. Minden csavar (ok) biztonságosan kell titkosított
2. A csavarokat kell feltétlenül bontás nélkül, mintha egy új (vagy törlik) csavaros
3. Az operációs rendszer legyen a titkosított partíción
4. Kell tudja növelni a tárhelyet, azáltal, hogy új csavarok
5. Indítsa el a rendszert anélkül, hogy belépne a kulcsot a titkosított adatokhoz
Kezdeni, röviden ismertesse az elmélet hogyan fog működni: a boot betöltő és a hozzáférési kulcs fogják tárolni egy kis (<50Mb) разделе флешки, при включении загрузчик разблокирует доступ к шифрованному винту, загружает ядро, подключает виртуальные разделы(LVM), далее происходит обычная загрузка системы. В качестве операционной системы был выбран Ububtu Server 9.10, но реализовать эту задачу можно на любой UNIX-like системе. Сразу оговорюсь, в самом инсталляторе есть возможность шифрования системы на этапе установки, но там нельзя реализовать пункты 1 и 2 из списка выше потому будем действовать в ручную.
Szükségünk van:
1. A kép Ubuntu Server 9.10
2. LiveCD forgalmazás. Vettem egy normál Ubuntu CD-t, akkor működnek a kódolt partíciók „out of the box”.
3. Az USB flash meghajtó, amelyeket használni fognak betölteni a rendszert
4. Alapfokú * nix rendszerek
5. Közvetlen kezek
1. lépés: Készítsük el a merevlemez és a flash meghajtók
a) A bontást a botot szakaszokra és létrehozása kulcsfontosságú
Csatlakoztassa az USB flash meghajtót a számítógép, amelyen a csavar titkosított lesz, és a Boot LiveCD. A mi feladatunk az, hogy létre a mi flash meghajtó 2 részből áll: az első amely szinte az összes helyet, és lesznek formázva FAT16, FAT32, NTFS (választott), második szakasz végén a botot, hogy 50MB és formátumban ext2. Ez a bontás nem véletlen - az eredeti listán, mert a flash meghajtó lesz teljesen működőképes bármilyen operációs rendszer. Szintén az ablakok a második rész lesz elérhető - ami egy plusz, ha a flash meghajtó esik illetéktelen kezekbe. Ahhoz, hogy hozzon létre egy partíciót, azt használják a grafikus segédprogram GParted (volt a LiveCD), de semmi sem akadályozza meg, hogy fdisk. A particionálás után primontiruem azokat a rendszerben:
Most hozzon létre egy kulcsot tartalmazó állomány, amellyel titkosítja a csavart, és egy másolatot belőle (csak abban az esetben):
b) A előállítása a csavar titkosításra
A második út én személyesen még nem tesztelték, mivel talált előállítása után a csavart. Ez használ szoftvert, hogy ellenőrizze a csavarokat rossz blokkok. Ennek mértéke folyamatot és a „minőség” randomdannyh nem mondhatok semmit.
Most, amikor a felszínen a lemez megtelt, itt az ideje, hogy titkosítja. Ehhez használja LUKS technológia.
Lesz figyelmeztetni az adatok megsemmisítését, hogy erősítse meg kell írni, IGEN (nagybetűvel). Csatlakozó titkosított lemez:
Mi adja meg a jelszót, és kap az új blokk eszköz / dev / mapper / meghajtóikat. A kapott eszköz működtethető egy hagyományos csavaros.
c) egy virtuális felosztását (LVM)
Létrehozhat egyéni partíciókat, és formázza azokat, de ez a módszer nem teszi lehetővé a jövőben bővíteni Fórumok (kell hozzá új), ezért használja LVM technológia. Röviden ez lehetővé teszi, hogy bármikor új csavar a medencében, és kiterjeszti a logikai partíciók hozzáadott helyet. Saját LiveCD elindult anélkül, hogy a szükséges csomagokat úgyhogy győződjön meg róla, hogy telepítés közben, és akkor automatikusan létrejön a mi dekódolt csavarok fizikai partíciót, és osszuk logikus.
Most van még 3 blokk eszköz / dev / mapper / vg-csere / dev / mapper / vg-root / dev / mapper / vg-adatokat. Formázása őket a kívánt fájlrendszer.
Mindent! A csavar kész átadni az OS van. Hogy előkészítse a rendszer, meg kell UUIDy csavarokat és szakaszok, így tartsa őket egy fájlt a flash meghajtót
2. lépés: előkészítése az operációs rendszer
a) A rendszer telepítése
Telepítse az operációs rendszerre van szükség, akár egyetlen csavarral, vagy egy másik számítógépen (Wirth. Machine). A telepítés megkezdése előtt csatlakoztatjuk a botot. A telepítés a legjobb módja a minimális konfiguráció beállításait úgy dönt, hogy illeszkedjen az Ön igényeinek. Az egyetlen fontos kérdés - meg kell adni a / boot volt telepítve a második részben a bot azonnal (tehát nem viszi át).
b) telepítése a további csomagokat, módosítsa a beállításokat
Miután a telepítés befejeződött, mi kell hozzá a csomagokat támogatja a titkosítást és az LVM és kijavítsuk konfigurációk. A csomag telepítése (ha csatlakozik az internethez):
Szabály beállítása GRUB. Az Ubuntu használ Grub2, mert korrigálni /boot/grub/grub.cfg. Keresünk menuentry «Ubuntu Linux 2.6.31-14-server» és egy kicsit rövidebb, mint én
linux root = UUID /vmlinuz-2.6.31-14-server = 9a651089-88fa-46d6-b547-38d3e10d4e67 ro quiet splash
tovább
linux /vmlinuz-2.6.31-14-server root = / dev / mapper / vg-gyökér ro quiet splash
/ Boot csatolási pont jelez UUID második partíció stick (lehet venni a fájlt egy USB-meghajtóra vagy újra látni a rendszerben), az szükséges, hogy a rendszer mindig szerelve a megfelelő partíciót, függetlenül attól, hogy hány csatlakoztatott flash kártyák / csavarokat.
A jogot, hogy a / etc / crypttab
meghajtóikat UUID = 090d14c1-e3c8-48e7-b123-6d9b8b2e502b / boot / mykey luks, titkosítást = AES-CBC-essiv: sha256
majd adja meg az UUID mi titkosított csavarok (nézd meg a flash meghajtót a fájl)
c) módosítása az initrd
Készítsük el a initrd dolgozni titkosítást és LVM. Az / etc / initramfs-tools / modules hozzá:
dm_mod
dm_crypt
sha256
aes_generic
Hozza létre a / etc / initramfs-tools / horgok / cryptokeys ezzel a script:
Előfeltétel = „«
prereqs ()
echo "$ előfeltétel"
>
case $ 1
prereqs)
prereqs
exit 0
;;
esac
ha a [. -x / sbin / cryptsetup]; majd
exit 0
fi
Ő fogja másolni a kulcs fájlt szokatlan helyen lévő képre initrd, ismét az USB flash meghajtó nem szerelhető. Hozza létre a / etc / initramfs-tools / scripts / local-top / cryptokeys a script:
Előfeltétel = »udev”
prereqs ()
echo «$ előfeltétel»
>
case $ 1
# Get előfeltételek
prereqs)
prereqs
exit 0
;;
esac
modprobe -b dm_crypt
modprobe -b aes_generic
modprobe -b sha256
darabig. / Sbin / cryptsetup -d = / etc / console / mykey luksOpen / dev / disk / by-uuid / 090d14c1-e3c8-48e7-b123-6d9b8b2e502b DriveSpace; csinál
echo «Próbálja újra. "
csinált
Ez történt a folyamat betöltése initrd, betölti a megfelelő modult, és megpróbálja megnyitni a titkosított csavart UUID = 090d14c1-e3c8-48e7-b123-6d9b8b2e502b. (Ciklus készült esetén egy jelszót helyett a kulcs). Meg kell itt beírni a UUID titkosított csavarokat.
Most végre:
sudo update-initramfs -u ALL
d) csomagolási rendszer átvitelére
Mi szerelhető a partíciót a gyökér fájlrendszer egy külön mappába és csomag az első rész a bot:
Most akkor át a rendszert.
3. lépés: Átigazolási rendszer
Ez egyszerű: mi összeköt az USB flash drive-val egy tartalék, boot a LiveCD, csatlakoztassa egy biztonságos csavar beállított LVM támogatás csomag telepíti a virtuális gyökér (valószínűleg először végre kell hajtania vgscan és vgmknodes rendszer lásd), csatolni kell az USB flash meghajtót, és csomagoljuk ki a levéltári rendszer.
Nos, ez minden, indítsa újra a számítógépet, és indíts egy flash kártya. Ha helyesen tette, majd néhány másodperc után megjelenik egy felirat Key slot 0 nyitva, akkor a csavar dekódolható és csatlakozik, akkor alapértelmezés szerint a csomagtartó.
Abban az esetben, egy otthoni számítógép ilyen rendszer lehetőséget ad, hogy megbízhatóan védi a személyes adatokat, és nem engedi, hogy bárki használni a számítógépet a felhasználó tudta nélkül (vaku nélkül is); abban az esetben a szerver a szervezet, ha jött, hogy ellenőrizze - húzta a botot, és rábökött visszaállítás és a szakértők egy nem üzleti / új számítógépet; szerver hosting cég azt bonyolulttá teszi a rendszert, és tárolja a kulcsot valahol a hálózatban, ha a szerver leáll, és elvitték, akkor nem fog elindulni internetkapcsolat nélkül (és meg kell, hogy gyorsan távolítsa el a hozzáférést a gomb - nem töltődnek be).
Ha a dolgok működnek jól az első alkalommal, akkor nyugodtan törölje az összes fájlt az első fejezet a botot.
Ügyeljen arra, hogy egy másolatot a legfontosabb, hogy ne veszítse el az adatai hozzáférhetőségét. Ez is egy jó ötlet, hogy egy második kulcsot egy jelszót (hogyan kell ezt csinálni megtalálható LUKS / cryptsetup dokumentációt). Szervezése hibatűrő on RAID1,5,6 alapú tárolási és nem lesz túl tárolása során értékes információkat.
Amikor beállítja az egész rendszer amit eredetileg mintájára azt egy virtuális gépet, és akkor is csak átment egy igazi számítógépen. Még mindig nagyon szeretnék tudni, hogy a véleményét a jogászok (előnyösen Ukrajna) rovására bizonyíthatóság bűntudat terjesztése kalóz tartalmak, ha a szakértők nem tud eljutni az információ (és ez lehetetlen kulcs nélkül), de úgy, hogy a csavar titkosítva van.