LUKS: Linux šifriranje podataka tvrdog diska s podrškom za NTFS u Linuxu

LUKS akronim je kratica za Linux Unified Key Setup što je široko rasprostranjena metoda šifriranja diska koju koristi Linux Kernel i implementirana je s paketom cryptsetup.

Naredbeni redak cryptsetup šifrira volumenski disk u hodu pomoću simetričnog ključa za šifriranje izvedenog iz priložene zaporke koja se daje svaki put kada se volumenski disk, particija i cijeli disk (čak i USB stick) montiraju u hijerarhija datotečnog sustava i koristi aes-cbc-essiv:sha256 šifru.

Budući da LUKS može šifrirati čitav blok uređaja (tvrde diskove, USB memorije, Flash diskove, particije, grupe volumena itd.) na Linux sustavima, uvelike se preporučuje za zaštitu prijenosnih medija za pohranu, tvrdih diskova prijenosnih računala ili Linux swap datoteka, a ne preporučuje se za datoteke razina enkripcije.

NTFS (New Technology File System) je vlasnički datotečni sustav koji je razvio Microsoft.

Ubuntu 14.04 pruža punu podršku za LUKS enkripciju i također NTFS izvornu podršku za Windows uz pomoć ntfs-3g paketa.

Kako bih dokazao svoju tvrdnju u ovom vodiču, dodao sam novi tvrdi disk (4.) na Ubuntu 14.04 kutiju (referenca sustava za novododani HDD je /dev/sdd ) koji će biti podijeljen u dvije particije.

  1. Jedna particija (/dev/sdd1 -primarna) korištena za LUKS enkripciju.
  2. Druga particija (/dev/sdd5 – prošireno) formatirala je NTFS za pristup podacima na sustavima temeljenim na Linuxu i Windowsu.

Također će se particije automatski montirati na Ubuntu 14.04 nakon ponovnog pokretanja.

Korak 1: Stvorite particije diska

1. Nakon što je vaš tvrdi disk fizički dodan na vaše računalo, koristite naredbu ls za popis svih /dev/devices (četvrti disk je /dev/sdd).

ls /dev/sd*

2. Zatim provjerite svoj novododani HDD pomoću naredbe fdisk.

sudo fdisk –l /dev/sdd

Budući da nije zapisan datotečni sustav, disk još uvijek ne sadrži važeću particijsku tablicu.

3. Sljedeći koraci dijele tvrdi disk na dvije particije pomoću uslužnog programa cfdisk.

sudo cfdisk /dev/sdd

4. Sljedeći ekran otvara cfdisk interaktivni način rada. Odaberite Slobodan prostor na tvrdom disku i dođite do opcije Novo koristeći strelice lijevo/desno.

5. Odaberite svoju vrstu particije kao Primarnu i pritisnite Enter.

6. Zapišite željenu veličinu particije u MB.

7. Napravite ovu particiju na početku slobodnog prostora na tvrdom disku.

8. Zatim idite na opciju Vrsta particije i pritisnite Enter.

9. Sljedeći upit prikazuje popis svih vrsta datotečnih sustava i njihov brojčani kod (heksadecimalni broj). Ova će particija biti Linux LUKS kriptirana pa odaberite kod 83 i ponovno pritisnite Enter za stvaranje particije.

10. Stvorena je prva particija i upit uslužnog programa cfdisk vraća se na početak. Za stvaranje druge particije koja se koristi kao NTFS odaberite preostali slobodni prostor, idite na opciju Novo i pritisnite tipku Enter .

11. Ovaj put particija će biti Proširena logička. Dakle, idite na opciju Logical i ponovo pritisnite Enter.

12. Ponovno unesite veličinu particije. Za korištenje preostalog slobodnog prostora kao nove particije ostavite zadanu vrijednost veličine i samo pritisnite Enter.

13. Ponovo odaberite šifru vrste particije. Za NTFS datotečni sustav odaberite 86 kod volumena.

14. Nakon pregleda i provjere particija odaberite Piši, odgovorite da na sljedeće interaktivno upitno pitanje, a zatim Izađi da napustite < b>cfdisk uslužni program.

Čestitamo ! Vaše su particije uspješno stvorene i sada su spremne za formatiranje i korištenje.

15. Za ponovnu provjeru Particijske tablice ponovno izdajte naredbu fdisk koja će prikazati detaljne informacije particijske tablice.

sudo fdisk –l /dev/sdd

Korak 2: Stvorite particijski datotečni sustav

NTFS datotečni sustav

16. Za stvaranje NTFS datotečnog sustava na drugoj particiji pokrenite naredbu mkfs.

sudo mkfs.ntfs /dev/sdd5

17. Da bi particija bila dostupna, mora biti montirana na datotečni sustav do točke montiranja. Montirajte drugu particiju na četvrti tvrdi disk na /opt točku montiranja pomoću naredbe mount.

sudo mount /dev/sdd5 /opt

18. Zatim provjerite je li particija dostupna i navedena u datoteci /etc/mtab pomoću naredbe cat.

cat /etc/mtab

19. Za demontiranje particije koristite sljedeću naredbu.

sudo umount /opt
EXT4 LUKS

20. Provjerite je li paket cryptsetup instaliran na vašem sustavu.

sudo apt-get install cryptsetup		[On Debian Based Systems]

yum install cryptsetup				[On RedHat Based Systems]

21. Sada je vrijeme da formatirate prvu particiju na četvrtom tvrdom disku s ext4 datotečnim sustavom izdavanjem sljedeće naredbe.

sudo luksformat  -t ext4  /dev/sdd1

Odgovorite velikim slovima DA na pitanje “Jeste li sigurni?” i unesite tri puta željenu lozinku.

Napomena: Ovisno o veličini vaše particije i brzini HDD-a, stvaranje datotečnog sustava može potrajati.

22. Također možete provjeriti status particionog uređaja.

sudo cryptsetup luksDump  /dev/sdd1

23. LUKS podržava najviše 8 dodanih lozinki. Za dodavanje lozinke koristite sljedeću naredbu.

sudo cryptsetup luksAddKey /dev/sdd1

Za uklanjanje lozinke koristite.

sudo cryptsetup luksRemoveKey /dev/sdd1

24. Da bi ova Šifrirana particija bila aktivna, mora imati unos naziva (biti inicijaliziran) u direktoriju /dev/mapper uz pomoć cryptsetup paket.

Ova postavka zahtijeva sljedeću sintaksu naredbenog retka:

sudo cryptsetup luksOpen  /dev/LUKS_partiton  device_name

Gdje “naziv_uređaja” može biti bilo koji opisni naziv koji vam se sviđa! (Nazvao sam ga moj crypted_volume). Stvarna naredba će izgledati kao što je prikazano u nastavku.

sudo cryptsetup luksOpen  /dev/sdd1 crypted_volume

25. Zatim provjerite je li vaš uređaj naveden na /dev/mapper, direktoriju, simboličkoj vezi i statusu uređaja.

ls /dev/mapper
ls –all /dev/mapper/encrypt_volume

sudo cryptsetup –v status encrypt_volume

26. Sada da biste uređaj za particiju učinili široko dostupnim, montirajte ga na svoj sustav pod točkom montiranja koristeći naredbu montiranja.

sudo mount  /dev/mapper/crypted_volume  /mnt

Kao što se može vidjeti particija je montirana i dostupna za pisanje podataka.

27. Da biste ga učinili nedostupnim, jednostavno ga isključite iz svog sustava i zatvorite uređaj.

sudo umount  /mnt
sudo cryptsetup luksClose crypted_volume

Korak 3: Automatsko montiranje particije

Ako koristite fiksni tvrdi disk i trebate da se obje particije automatski montiraju nakon ponovnog pokretanja sustava, morate slijediti ova dva koraka.

28. Prvo uredite datoteku /etc/crypttab i dodajte sljedeće podatke.

sudo nano /etc/crypttab
  1. Naziv cilja: opisni naziv za vaš uređaj (pogledajte gornju točku 22 na EXT4 LUKS).
  2. Izvorni pogon: particija tvrdog diska formatirana za LUKS (pogledajte gornju točku 21 na EXT4 LUKS).
  3. Ključna datoteka: Ne odaberite ništa
  4. Opcije: Navedite luks

Konačna linija bi izgledala kao što je prikazano u nastavku.

encrypt_volume               /dev/sdd1          none       luks

29. Zatim uredite /etc/fstab i odredite naziv vašeg uređaja, točku montiranja, vrstu datotečnog sustava i druge opcije.

sudo nano /etc/fstab

U zadnjem retku koristite sljedeću sintaksu.

/dev/mapper/device_name (or UUID)	/mount_point     filesystem_type     options    dump   pass

I dodajte svoj određeni sadržaj.

/dev/mapper/encrypt_volume      /mnt    ext4    defaults,errors=remount-ro     0     0

30. Da biste dobili UUID uređaja koristite sljedeću naredbu.

sudo blkid

31. Da biste također dodali tip particije NTFS kreiran ranije, koristite istu sintaksu kao gore u novom retku u fstab (Ovdje preusmjeravanje dodavanja Linux datoteke koristi se ).

sudo su -
echo "/dev/sdd5	/opt	ntfs		defaults		0              0"  >> /etc/fstab

32. Za provjeru promjena ponovno pokrenite svoj stroj, pritisnite Enter nakon poruke pokretanja “Početak konfiguriranja mrežnog uređaja” i upišite lozinka vašeg uređaja.

Kao što vidite, obje particije diska automatski su postavljene na hijerarhiju datotečnog sustava Ubuntu. Kao savjet nemojte koristiti automatski šifrirane volumene iz fstab datoteke na fizički udaljenim poslužiteljima ako ne možete imati pristup redoslijedu ponovnog pokretanja radi pružanja lozinke za šifrirani volumen.

Iste postavke mogu se primijeniti na sve vrste prijenosnih medija kao što su USB stick, Flash memorija, vanjski tvrdi disk itd. za zaštitu važnih, tajnih ili osjetljivih podataka u slučaju prisluškivanja ili krađe.