Métodos de criptografia Linux
Existem dois métodos para criptografar seus dados:
Existem dois métodos para criptografar seus dados:
eCryptfs -
É um sistema de arquivos Linux criptográfico empilhadas. eCryptfs armazena metadados de criptografia no cabeçalho de cada arquivo escrito, de modo que os arquivos criptografados podem ser copiados entre os hosts, o arquivo será descriptografado com a chave apropriada no chaveiro do kernel Linux. Esta solução é amplamente utilizado, como base para a criptografados Diretório do Ubuntu, nativamente dentro ChromeOS do Google, e de forma transparente incorporado em rede anexado vários dispositivos de armazenamento (NAS).
Encfs -
Ele fornece um sistema de arquivos criptografados em espaço do usuário. Ele roda sem permissões especiais e usa a biblioteca FUSE e módulo do kernel Linux para fornecer a interface do sistema de arquivos. Você pode encontrar links para fontes e versões binárias abaixo. Encfs é um software de código aberto, licenciado sob a GPL.
2: Bloco de criptografia no nível do dispositivo
Loop-AES -
Rápido e transparente do sistema de arquivos e um pacote de criptografia de swap para linux. No código fonte muda a kernel do Linux. Funciona com 3.x, 2.6, 2.4, 2.2 e 2.0 kernels.
TrueCrypt -
É livre de código aberto de software de criptografia de disco para Windows 7/Vista/XP, Mac OS X e Linux.
dm-crypt + LUKS - dm-crypt é um subsistema transparente de criptografia de disco no Linux kernel do v2.6 + e posterior e DragonFly BSD. Ele pode criptografar discos inteiros, mídia removível, partições, volumes RAID de software, os volumes lógicos e os arquivos.
Neste post, vou explicar como criptografar suas partições usando o Linux Unified formato Setup-on-disk (Key LUKS) no seu computador ou laptop baseado em Linux.
Instalar utilitário cryptsetup
Você precisa instalar o seguinte pacote. Ele contém cryptsetup, um utilitário para a criação de sistemas de arquivos criptografados usando Device Mapper eo alvo dm-crypt. Tipo de usuário Debian / Ubuntu Linux o seguinte comando apt-get :
apt-get install cryptsetup
Saidas de amostra:
Lendo listas de pacotes ... Feito
Árvore de dependências do edifício
Lendo informação de estado ... Feito
Os seguintes pacotes extra serão instalados:
libcryptsetup4 cryptsetup-bin
Pacotes sugeridos:
busybox
Os seguintes NOVOS pacotes serão instalados:
cryptsetup libcryptsetup4 cryptsetup-bin
0 pacotes atualizados, 3 novos instalados, 0 a serem removidos e 7 não atualizados.
É preciso obter 168 kB de arquivos.
Após esta operação, serão utilizados 669 KB de espaço em disco adicional.
Você quer continuar [Y / n]? y
Obter: 1 http://ap-northeast-1.ec2.archive.ubuntu.com/ubuntu/ preciso principal amd64 / libcryptsetup4 2:1.4.1-2ubuntu4 [55,8 kB]
Obter: 2 http://ap-northeast-1.ec2.archive.ubuntu.com/ubuntu/ / main cryptsetup-bin amd64 2:1.4.1-2ubuntu4 precisa [32,2 kB]
Obter: 3 http://ap-northeast-1.ec2.archive.ubuntu.com/ubuntu/ preciso principal amd64 / cryptsetup 2:1.4.1-2ubuntu4 [80,0 kB]
Buscada 168 kB em 0s (268 kb / s)
Pré-configurando pacotes ...
Selecionar previamente não selecionado libcryptsetup4 pacote.
(Lendo banco de dados ... 25374 arquivos e diretórios atualmente instalados.)
Desempacotando libcryptsetup4 (a partir de ... / libcryptsetup4_2% 3a1.4.1-2ubuntu4_amd64.deb) ...
Selecionando pacote previamente não selecionado cryptsetup-bin.
Desempacotando cryptsetup-bin (de ... / cryptsetup-bin_2% 3a1.4.1-2ubuntu4_amd64.deb) ...
Selecionar previamente não selecionado cryptsetup pacote.
Desempacotando cryptsetup (a partir de ... / cryptsetup_2% 3a1.4.1-2ubuntu4_amd64.deb) ...
Processamento de gatilhos para man-db ...
Processamento de gatilhos para ureadahead ...
Configurando libcryptsetup4 (2:1.4.1-2ubuntu4) ...
Configurando cryptsetup-bin (2:1.4.1-2ubuntu4) ...
Configurando cryptsetup (2:1.4.1-2ubuntu4) ...
update-initramfs: update adiando (trigger ativado)
Processamento de gatilhos para libc-bin ...
ldconfig processamento diferido ocorrendo agora
Processamento de gatilhos para initramfs-tools ...
update-initramfs: Generating / boot/initrd.img-3.2.0-31-virtual
Usuário RHEL / CentOS / Fedora Linux digite o seguinte comando yum :
# yum install cryptsetup-luks
Configurar partição LUKS
Neste exemplo, eu vou encript /dev/xvdc. Digite o seguinte comando:
# cryptsetup-y-v luksFormat /dev/xvdc
Saídas de Amostra:
# cryptsetup-y-v luksFormat / dev / xvdc
ATENÇÃO!
========
Isto irá substituir dados no / dev / xvdc irrevogavelmente.
Tem certeza? ( Digite sim maiúsculas ) : SIM
Enter LUKS passphrase:
Verifique frase:
Comando de sucesso.
Este comando inicializa o volume, e define uma chave inicial ou senha. Por favor, note que a senha não é recuperável, então não esqueça it.Type o comando a seguir cria um mapeamento:
# cryptsetup luksOpen /dev/xvdc Backup2
Saídas de amostra:
Digite senha para /dev/xvdc:
Você pode ver um mapeamento de nome / dev/mapper/backup2 após verificação bem sucedida do material de chave fornecida, que foi criado com a extensão de comando luksFormat:
# ls-l / dev/mapper/backup2
Saidas de amostra
lrwxrwxrwx 1 root root 7 19 de outubro 19:37 /dev/mapper/backup2 -> .. /dm-0
Você pode usar o seguinte comando para ver o status do mapeamento:
# cryptsetup-v backup2 estado
Saidas de amostra
/Dev/mapper/backup2 está ativo.
Tipo: LUKS1
cifra: aes-cbc-essiv: sha256
keysize: 256 bits
device: / dev / xvdc
offset: 4096 setores
size: 419426304 setores
mode: leitura / gravação
Comando de sucesso.
Você pode despejar cabeçalhos LUKS usando o seguinte comando:
# cryptsetup luksDump /dev/xvdc
Formato partição LUKS
Em primeiro lugar, você precisa escrever zeros para /dev/mapper/backup2 dispositivo criptografado. Isto irá alocar dados em blocos com zeros. Isso garante que o mundo lá fora vai ver estes dados aleatórios, ou seja, que protegem contra a divulgação de padrões de uso:
# dd if=/dev/zero of=/dev/mapper/backup2
O comando dd pode levar várias horas para ser concluído. Eu sugiro que você use o comando pv para monitorar o progresso :
# pv-tpreb /dev/zero | dd of=/dev/mapper/backup2 bs=128M
Para criar um sistema de arquivos ou seja, formato de sistema de arquivos, digite:
# mkfs.ext4 /dev/mapper/backup2
Para montar o novo sistema de arquivos em / backup2 , digite:
# mkdir / Backup2
# mount / dev/mapper/backup2 / Backup2
# df-H
# cd / Backup2
# ls-l
Como faço para desmontar e dados seguros?
# umount /backup2
# cryptsetup luksClose backup2
Como faço para montar ou remontar partição criptografada?
Digite o seguinte comando:
# cryptsetup luksOpen /dev/xvdc backup2
# mount /dev/mapper/backup2 /Backup2
# df-h
# mount
Veja shell script envoltório que abre partição LUKS e configura um mapeamento para dispositivos NAS.
Posso executar o fsck no volume partição / LVM com base LUKS?
Sim, você pode usar o comando fsck Em sistemas baseados LUKS:
# umount /backup2
# fsck-vy /dev/mapper/backup2
# mount /dev/mapper/backup2 /backup2
Veja como executar fsck Em LUKS (dm-crypt), com base volume físico LVM para mais detalhes.
Como posso alterar o LUKS passphrase (senha) para a partição criptografada?
Digite o seguinte comando:
# cryptsetup luksDump / dev / xvdc
# cryptsetup luksAddKey / dev / xvdc Digite qualquer senha:
Digite a nova senha para o slot-chave:
Verifique frase:
Remover ou excluir a senha antiga:
# cryptsetup luksRemoveKey /dev/xvdc
Por favor, note que você precisa para entrar no antigo senha / senha.
Conclusão
Agora você tem uma partição criptografada para todos os seus dados.
Prós:
LUKS criptografa dispositivos de blocos inteiros e é, portanto, bem adequado para proteger o conteúdo de dispositivos móveis, como mídia de armazenamento removíveis (pen USB) ou unidades de disco portáteis.
Você também pode usar com o seu servidor NAS para proteger backups.
Intel e AMD com AES-NI (Advanced Encryption Standard conjunto de instruções) pode acelerar a criptografia baseada dm-crypt para Linux Kernel v2.6.32 +. Isto irá acelerar a criptografia disco rígido.
Funciona com partição swap muito para que seu laptop pode usar o recurso de hibernação (suspend-to-disk) que escreve o conteúdo da RAM para a partição de swap antes de desligar a máquina.
Contras:
LUKS só suportam até 8 senhas, ou seja, apenas 8 usuários podem ter teclas de acesso distintas para o mesmo dispositivo.]
LUKS também não é recomendável para aplicações que exigem criptografia em nível de arquivo.
Créditos ao Natan, por publicar este artigo no antigo fórum da Brutal Security.
Créditos originais não encontrados.
0 comentários:
Postar um comentário