Поиск по сайту:

LUKS: шифрование данных жесткого диска Linux с поддержкой NTFS в Linux

Аббревиатура LUKS означает Linux Unified Key Setup, который представляет собой широко распространенный метод шифрования диска, используемый ядром Linux и реализуемый с помощью пакета cryptsetup.

Командная строка cryptsetup шифрует диск тома на лету с использованием симметричного ключа шифрования, полученного из предоставленной парольной фразы, которая предоставляется каждый раз, когда диск тома, раздел, а также весь диск (даже USB-накопитель) монтируется в иерархия файловой системы и использует шифр aes-cbc-essiv:sha256.

Поскольку LUKS может шифровать все блочные устройства (жесткие диски, USB-накопители, флэш-диски, разделы, группы томов и т. д.) в системах Linux, его в основном рекомендуется для защиты съемных носителей, жестких дисков ноутбуков или файлов подкачки Linux и не рекомендуется для файловых уровень шифрования.

NTFS (файловая система новой технологии) — это собственная файловая система, разработанная Microsoft.

Ubuntu 14.04 обеспечивает полную поддержку шифрования LUKS, а также встроенную поддержку NTFS для Windows с помощью пакета ntfs-3g.

Чтобы доказать свою точку зрения в этом уроке, я добавил новый жесткий диск (четвертый) в Ubuntu 14.04 (системная ссылка на вновь добавленный жесткий диск — /dev/sdd) ), который будет разделен на два раздела.

  1. Один раздел (/dev/sdd1 -primary), используемый для шифрования LUKS.
  2. Второй раздел (/dev/sdd5 – расширенный) отформатирован в NTFS для доступа к данным как в системах на базе Linux, так и в системах Windows.

Также разделы будут автоматически смонтированы в Ubuntu 14.04 после перезагрузки.

Шаг 1. Создайте разделы диска

1. После того, как ваш жесткий диск физически добавлен на ваш компьютер, используйте команду ls, чтобы вывести список всех /dev/devices (четвертый диск — /dev/sdd< /б>).

ls /dev/sd*

2. Затем проверьте вновь добавленный жесткий диск с помощью команды fdisk.

sudo fdisk –l /dev/sdd

Поскольку ни одна файловая система не была записана, диск еще не содержит действующей таблицы разделов.

3. Следующие шаги разделяют жесткий диск на два раздела с помощью дисковой утилиты cfdisk.

sudo cfdisk /dev/sdd

4. На следующем экране откроется интерактивный режим cfdisk. Выберите Свободное место на жестком диске и перейдите к параметру Новый с помощью стрелок влево/вправо.

5. Выберите тип раздела: Основной и нажмите Ввод.

6. Запишите желаемый размер раздела в МБ.

7. Создайте этот раздел в начале свободного места на жестком диске.

8. Затем перейдите к параметру Тип раздела и нажмите Ввод.

9. В следующем приглашении представлен список всех типов файловых систем и их числовой код (шестнадцатеричное число). Этот раздел будет зашифрован Linux LUKS, поэтому выберите код 83 и снова нажмите Enter, чтобы создать раздел.

10. Создается первый раздел, и приглашение утилиты cfdisk возвращается к началу. Чтобы создать второй раздел, используемый в качестве NTFS, выберите оставшееся Свободное пространство, перейдите к параметру Новый и нажмите клавишу Enter. .

11. На этот раз раздел будет расширенным логическим. Итак, перейдите к опции Логический и снова нажмите Enter.

12. Еще раз введите размер раздела. Чтобы использовать оставшееся свободное пространство в качестве нового раздела, оставьте значение размера по умолчанию и просто нажмите Enter.

13. Снова выберите код типа раздела. Для файловой системы NTFS выберите код тома 86.

14. После просмотра и проверки разделов выберите Записать, ответьте да на следующий интерактивный вопрос, затем Выйти, чтобы покинуть < b>cfdisk утилита.

Поздравляем! Ваши разделы успешно созданы и теперь готовы к форматированию и использованию.

15. Чтобы еще раз проверить диск Таблица разделов, еще раз введите команду fdisk, которая отобразит подробную информацию о таблице разделов.

sudo fdisk –l /dev/sdd

Шаг 2. Создайте файловую систему разделов

Файловая система NTFS

16. Чтобы создать файловую систему NTFS во втором разделе, выполните команду mkfs.

sudo mkfs.ntfs /dev/sdd5

17. Чтобы сделать раздел доступным, его необходимо смонтировать в файловой системе в точку монтирования. Подключите второй раздел на четвертом жестком диске к точке монтирования /opt с помощью команды mount.

sudo mount /dev/sdd5 /opt

18. Затем проверьте, доступен ли раздел и указан ли он в файле /etc/mtab, с помощью команды cat.

cat /etc/mtab

19. Чтобы отключить раздел, используйте следующую команду.

sudo umount /opt
EXT4 ЛУКС

20. Убедитесь, что в вашей системе установлен пакет cryptsetup.

sudo apt-get install cryptsetup		[On Debian Based Systems]

yum install cryptsetup				[On RedHat Based Systems]

21. Теперь пришло время отформатировать первый раздел четвертого жесткого диска с файловой системой ext4, выполнив следующую команду.

sudo luksformat  -t ext4  /dev/sdd1

Ответьте на вопрос «Вы уверены?», написав заглавными буквами YES, и введите три раза желаемую парольную фразу.

Примечание. В зависимости от размера и скорости жесткого диска создание файловой системы может занять некоторое время.

22. Вы также можете проверить состояние устройства раздела.

sudo cryptsetup luksDump  /dev/sdd1

23. LUKS поддерживает добавление максимум 8 паролей. Чтобы добавить пароль, используйте следующую команду.

sudo cryptsetup luksAddKey /dev/sdd1

Чтобы удалить пароль, используйте.

sudo cryptsetup luksRemoveKey /dev/sdd1

24. Чтобы этот Зашифрованный раздел был активным, он должен иметь запись имени (которая должна быть инициализирована) в каталоге /dev/mapper с помощью Пакет cryptsetup.

Для этого параметра требуется следующий синтаксис командной строки:

sudo cryptsetup luksOpen  /dev/LUKS_partiton  device_name

Где «device_name» может быть любым описательным именем, которое вам нравится! (Я назвал его crypted_volume). Фактическая команда будет выглядеть так, как показано ниже.

sudo cryptsetup luksOpen  /dev/sdd1 crypted_volume

25. Затем проверьте, указано ли ваше устройство в /dev/mapper, каталоге, символической ссылке и состоянии устройства.

ls /dev/mapper
ls –all /dev/mapper/encrypt_volume

sudo cryptsetup –v status encrypt_volume

26. Теперь, чтобы сделать устройство раздела широко доступным, смонтируйте его в своей системе в точке монтирования с помощью команды mount.

sudo mount  /dev/mapper/crypted_volume  /mnt

Как видно раздел смонтирован и доступен для записи данных.

27. Чтобы сделать его недоступным, просто отключите его от системы и закройте устройство.

sudo umount  /mnt
sudo cryptsetup luksClose crypted_volume

Шаг 3. Автоматическое монтирование раздела

Если вы используете фиксированный жесткий диск и вам необходимо, чтобы оба раздела автоматически монтировались в систему после перезагрузки, вам необходимо выполнить следующие два шага.

28. Сначала отредактируйте файл /etc/crypttab и добавьте следующие данные.

sudo nano /etc/crypttab
  1. Целевое имя: описательное имя вашего устройства (см. пункт 22 выше в разделе EXT4 LUKS).
  2. Исходный диск: раздел жесткого диска, отформатированный для LUKS (см. пункт 21 выше в разделе EXT4 LUKS).
  3. Ключевой файл: выберите «Нет».
  4. Параметры: укажите люксы.

Окончательная строка будет выглядеть так, как показано ниже.

encrypt_volume               /dev/sdd1          none       luks

29. Затем отредактируйте /etc/fstab и укажите имя вашего устройства, точку монтирования, тип файловой системы и другие параметры.

sudo nano /etc/fstab

В последней строке используйте следующий синтаксис.

/dev/mapper/device_name (or UUID)	/mount_point     filesystem_type     options    dump   pass

И добавьте свой конкретный контент.

/dev/mapper/encrypt_volume      /mnt    ext4    defaults,errors=remount-ro     0     0

30. Чтобы получить UUID устройства, используйте следующую команду.

sudo blkid

31. Чтобы также добавить тип раздела NTFS, созданный ранее, используйте тот же синтаксис, что и выше, в новой строке в fstab (здесь перенаправление добавления файла Linux используется ).

sudo su -
echo "/dev/sdd5	/opt	ntfs		defaults		0              0"  >> /etc/fstab

32. Чтобы проверить изменения, перезагрузите компьютер, нажмите Ввод после загрузочного сообщения «Начало настройки сетевого устройства» и введите пароль вашего устройства.

Как вы можете видеть, оба раздела диска были автоматически смонтированы в иерархии файловой системы Ubuntu. Совет: не используйте автоматически зашифрованные тома из файла fstab на физически удаленных серверах, если у вас нет доступа к последовательности перезагрузки для предоставления пароля зашифрованного тома.

Одни и те же настройки можно применять ко всем типам съемных носителей, таких как USB-накопитель, флэш-память, внешний жесткий диск и т. д., для защиты важных, секретных или конфиденциальных данных в случае подслушивания или кражи.