LUKS: шифрование данных жесткого диска Linux с поддержкой NTFS в Linux
Аббревиатура LUKS означает Linux Unified Key Setup, который представляет собой широко распространенный метод шифрования диска, используемый ядром Linux и реализуемый с помощью пакета cryptsetup.
Командная строка cryptsetup шифрует диск тома на лету с использованием симметричного ключа шифрования, полученного из предоставленной парольной фразы, которая предоставляется каждый раз, когда диск тома, раздел, а также весь диск (даже USB-накопитель) монтируется в иерархия файловой системы и использует шифр aes-cbc-essiv:sha256.
Поскольку LUKS может шифровать все блочные устройства (жесткие диски, USB-накопители, флэш-диски, разделы, группы томов и т. д.) в системах Linux, его в основном рекомендуется для защиты съемных носителей, жестких дисков ноутбуков или файлов подкачки Linux и не рекомендуется для файловых уровень шифрования.
NTFS (файловая система новой технологии) — это собственная файловая система, разработанная Microsoft.
Ubuntu 14.04 обеспечивает полную поддержку шифрования LUKS, а также встроенную поддержку NTFS для Windows с помощью пакета ntfs-3g.
Чтобы доказать свою точку зрения в этом уроке, я добавил новый жесткий диск (четвертый) в Ubuntu 14.04 (системная ссылка на вновь добавленный жесткий диск — /dev/sdd) ), который будет разделен на два раздела.
- Один раздел (/dev/sdd1 -primary), используемый для шифрования LUKS.
- Второй раздел (/dev/sdd5 – расширенный) отформатирован в NTFS для доступа к данным как в системах на базе Linux, так и в системах Windows.
Также разделы будут автоматически смонтированы в Ubuntu 14.04 после перезагрузки.
Шаг 1. Создайте разделы диска
1. После того, как ваш жесткий диск физически добавлен на ваш компьютер, используйте команду ls, чтобы вывести список всех /dev/devices (четвертый диск — /dev/sdd< /б>).
ls /dev/sd*
2. Затем проверьте вновь добавленный жесткий диск с помощью команды fdisk.
sudo fdisk –l /dev/sdd
Поскольку ни одна файловая система не была записана, диск еще не содержит действующей таблицы разделов.
3. Следующие шаги разделяют жесткий диск на два раздела с помощью дисковой утилиты cfdisk.
sudo cfdisk /dev/sdd
4. На следующем экране откроется интерактивный режим cfdisk. Выберите Свободное место на жестком диске и перейдите к параметру Новый с помощью стрелок влево/вправо.
5. Выберите тип раздела: Основной и нажмите Ввод.
6. Запишите желаемый размер раздела в МБ.
7. Создайте этот раздел в начале свободного места на жестком диске.
8. Затем перейдите к параметру Тип раздела и нажмите Ввод.
9. В следующем приглашении представлен список всех типов файловых систем и их числовой код (шестнадцатеричное число). Этот раздел будет зашифрован Linux LUKS, поэтому выберите код 83 и снова нажмите Enter, чтобы создать раздел.
10. Создается первый раздел, и приглашение утилиты cfdisk возвращается к началу. Чтобы создать второй раздел, используемый в качестве NTFS, выберите оставшееся Свободное пространство, перейдите к параметру Новый и нажмите клавишу Enter. .
11. На этот раз раздел будет расширенным логическим. Итак, перейдите к опции Логический и снова нажмите Enter.
12. Еще раз введите размер раздела. Чтобы использовать оставшееся свободное пространство в качестве нового раздела, оставьте значение размера по умолчанию и просто нажмите Enter.
13. Снова выберите код типа раздела. Для файловой системы NTFS выберите код тома 86.
14. После просмотра и проверки разделов выберите Записать, ответьте да на следующий интерактивный вопрос, затем Выйти, чтобы покинуть < b>cfdisk утилита.
Поздравляем! Ваши разделы успешно созданы и теперь готовы к форматированию и использованию.
15. Чтобы еще раз проверить диск Таблица разделов, еще раз введите команду fdisk, которая отобразит подробную информацию о таблице разделов.
sudo fdisk –l /dev/sdd
Шаг 2. Создайте файловую систему разделов
Файловая система NTFS
16. Чтобы создать файловую систему NTFS во втором разделе, выполните команду mkfs.
sudo mkfs.ntfs /dev/sdd5
17. Чтобы сделать раздел доступным, его необходимо смонтировать в файловой системе в точку монтирования. Подключите второй раздел на четвертом жестком диске к точке монтирования /opt с помощью команды mount.
sudo mount /dev/sdd5 /opt
18. Затем проверьте, доступен ли раздел и указан ли он в файле /etc/mtab, с помощью команды cat.
cat /etc/mtab
19. Чтобы отключить раздел, используйте следующую команду.
sudo umount /opt
EXT4 ЛУКС
20. Убедитесь, что в вашей системе установлен пакет cryptsetup.
sudo apt-get install cryptsetup [On Debian Based Systems]
yum install cryptsetup [On RedHat Based Systems]
21. Теперь пришло время отформатировать первый раздел четвертого жесткого диска с файловой системой ext4, выполнив следующую команду.
sudo luksformat -t ext4 /dev/sdd1
Ответьте на вопрос «Вы уверены?», написав заглавными буквами YES, и введите три раза желаемую парольную фразу.
Примечание. В зависимости от размера и скорости жесткого диска создание файловой системы может занять некоторое время.
22. Вы также можете проверить состояние устройства раздела.
sudo cryptsetup luksDump /dev/sdd1
23. LUKS поддерживает добавление максимум 8 паролей. Чтобы добавить пароль, используйте следующую команду.
sudo cryptsetup luksAddKey /dev/sdd1
Чтобы удалить пароль, используйте.
sudo cryptsetup luksRemoveKey /dev/sdd1
24. Чтобы этот Зашифрованный раздел был активным, он должен иметь запись имени (которая должна быть инициализирована) в каталоге /dev/mapper с помощью Пакет cryptsetup.
Для этого параметра требуется следующий синтаксис командной строки:
sudo cryptsetup luksOpen /dev/LUKS_partiton device_name
Где «device_name» может быть любым описательным именем, которое вам нравится! (Я назвал его crypted_volume). Фактическая команда будет выглядеть так, как показано ниже.
sudo cryptsetup luksOpen /dev/sdd1 crypted_volume
25. Затем проверьте, указано ли ваше устройство в /dev/mapper, каталоге, символической ссылке и состоянии устройства.
ls /dev/mapper
ls –all /dev/mapper/encrypt_volume
sudo cryptsetup –v status encrypt_volume
26. Теперь, чтобы сделать устройство раздела широко доступным, смонтируйте его в своей системе в точке монтирования с помощью команды mount.
sudo mount /dev/mapper/crypted_volume /mnt
Как видно раздел смонтирован и доступен для записи данных.
27. Чтобы сделать его недоступным, просто отключите его от системы и закройте устройство.
sudo umount /mnt
sudo cryptsetup luksClose crypted_volume
Шаг 3. Автоматическое монтирование раздела
Если вы используете фиксированный жесткий диск и вам необходимо, чтобы оба раздела автоматически монтировались в систему после перезагрузки, вам необходимо выполнить следующие два шага.
28. Сначала отредактируйте файл /etc/crypttab и добавьте следующие данные.
sudo nano /etc/crypttab
- Целевое имя: описательное имя вашего устройства (см. пункт 22 выше в разделе EXT4 LUKS).
- Исходный диск: раздел жесткого диска, отформатированный для LUKS (см. пункт 21 выше в разделе EXT4 LUKS).
- Ключевой файл: выберите «Нет».
- Параметры: укажите люксы.
Окончательная строка будет выглядеть так, как показано ниже.
encrypt_volume /dev/sdd1 none luks
29. Затем отредактируйте /etc/fstab и укажите имя вашего устройства, точку монтирования, тип файловой системы и другие параметры.
sudo nano /etc/fstab
В последней строке используйте следующий синтаксис.
/dev/mapper/device_name (or UUID) /mount_point filesystem_type options dump pass
И добавьте свой конкретный контент.
/dev/mapper/encrypt_volume /mnt ext4 defaults,errors=remount-ro 0 0
30. Чтобы получить UUID устройства, используйте следующую команду.
sudo blkid
31. Чтобы также добавить тип раздела NTFS, созданный ранее, используйте тот же синтаксис, что и выше, в новой строке в fstab (здесь перенаправление добавления файла Linux используется ).
sudo su -
echo "/dev/sdd5 /opt ntfs defaults 0 0" >> /etc/fstab
32. Чтобы проверить изменения, перезагрузите компьютер, нажмите Ввод после загрузочного сообщения «Начало настройки сетевого устройства» и введите пароль вашего устройства.
Как вы можете видеть, оба раздела диска были автоматически смонтированы в иерархии файловой системы Ubuntu. Совет: не используйте автоматически зашифрованные тома из файла fstab на физически удаленных серверах, если у вас нет доступа к последовательности перезагрузки для предоставления пароля зашифрованного тома.
Одни и те же настройки можно применять ко всем типам съемных носителей, таких как USB-накопитель, флэш-память, внешний жесткий диск и т. д., для защиты важных, секретных или конфиденциальных данных в случае подслушивания или кражи.