From Fedora Project Wiki
 
(No difference)

Latest revision as of 16:42, 22 March 2014

Глава 4.1 - LUKS (Linux Unified Key Setup on-disk format)

Введение в LUKS

LUKS позволяет шифровать разделы дисков на компьютере работающем под управлением Linux. Это становиться особенно важным, когда дело касается портативных компьютеров и сменных носителей информации. LUKS делает возможным расшифровку главного ключа, с помощью которого осуществляется массовое шифрование данных в разделе диска, любым из множества пользовательских ключей.

Реализация LUKS в Fedora

Fedora 9 и более поздние её версии используют LUKS для выполнения шифрования дисковых разделов. Возможность создания зашифрованного раздела предоставляется еще при установке операционной системы. Система попросит вас задать пароль, который в последующем надо будет вводить при загрузке Fedora, чтобы извлечь ключ массового шифрования для этого раздела. Если вы решите изменить разбиение диска предлагаемое по умолчанию, то сможете выбрать какие именно разделы вы хотите зашифровать.

По умолчанию реализация LUKS в Fedora 9 использует шифрование AES-128 с хешированием SHA-256. Доступны также следующие алгоритмы шифрования:

Шифрование домашних каталогов пользователей

Создайте резервную копию раздела!
Выполнение последующих инструкций повлечет за собой удаление всех данных на шифруемом разделе. Вся информация будет потеряна! Обязательно сохраните данные с этого раздела на другом носителе прежде чем приступать к процедуре создания зашифрованного диска!

Описываемая ниже процедура включает в себя изменение настроек и форматирование раздела хранящего домашние каталоги пользователей (/home). Шифрование всего раздела /home имеет смысл лишь на компьютере, которым пользуется один человек или несколько доверенных пользователей.

До начала операций убедитесь в надежности созданной копии раздела, так как вся содержащаяся в нем информация будет уничтожена. Все указанные здесь действия должны выполняться с правами администратора (root). При неудачном завершении любого из действий нельзя переходить к выполнению последующего. И, конечно же, ваш каталог /home должен располагаться в отдельном разделе диска (в рассматриваемом нами примере это будет /dev/VG00/LV_home).

Пошаговое руководство

  1. Перейдите на уровень исполнения 1: telinit 1
  2. Размонтируйте раздел /home: umount /home
  3. Если размонтировать раздел не удалось, используйте команду fuser чтобы найти и завершить все процессы, которые работают с файловой системой раздела: fuser -mvk /home
  4. Удостоверьтесь в том, что файловая система теперь размонтирована: cat /proc/mounts | grep home
  5. Заполните содержимое раздела случайными данными: dd if=/dev/urandom of=/dev/VG00/LV_home
Этот процесс может потребовать нескольких часов, однако, мы настоятельно рекомендуем выполнить его для того, чтобы получить надежную защиту от попыток взлома. Просто оставьте компьютер работать на ночь...
  1. Выполните инициализацию раздела: cryptsetup --verbose --verify-passphrase luksFormat /dev/VG00/LV_home
  2. Откройте зашифрованный раздел: cryptsetup luksOpen /dev/VG00/LV_home home
  3. Убедитесь в том, что раздел был открыт: ls -l /dev/mapper | grep home
  4. Создайте файловую систему: mkfs.ext3 /dev/mapper/home
  5. Смонтируйте раздел: mount /dev/mapper/home /home
  6. Проверьте результаты предыдущих операций: df -h | grep home
  7. Добавьте в /etc/crypttab такую строчку: home /dev/VG00/LV_home none
  8. Отредактируйте файл /etc/fstab заменив запись для раздела /home на следующую:/dev/mapper/home /home ext3 defaults 1 2
  9. Проверьте работоспособность новой конфигурации: mount /home
  10. Восстановите заданный по умолчанию контекст безопасности SELinux: /sbin/restorecon -v -R /home
  11. Перезагрузите систему: shutdown -r now
  12. Теперь, после внесения в файл /etc/crypttab записи о созданном зашифрованном диске, при загрузке система будет запрашивать у вас пароль для LUKS.
  13. Войдите в систему как администратор и восстановите содержимое каталога /home.

Теперь все пользовательские данные находятся на зашифрованном диске и вы можете быть спокойны за их сохранность, когда компьютер выключен.

Дополнительная информация



4. Шифрование Содержание 4.2 GnuPG (GPG); шифрование и формирование ЭЦП