Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
wiki:шифрование_всего_диска [2011/12/14 18:15] |
wiki:шифрование_всего_диска [2016/05/08 19:34] (текущий) [Описание руководства] |
||
|---|---|---|---|
| Строка 3: | Строка 3: | ||
| ===== Описание руководства ===== | ===== Описание руководства ===== | ||
| - | Данная статья рассказывает, как создать надёжно зашифрованное хранилище данных на жестом диске компьютера и при этом не сломать спящий и ждущий режимы. Особенно актуально это для владельцев ноутбуков, т. к. в отличие от стационарных компьютеров шанс кражи/утери ноутбука выше и возникает обоснованное желание хранить информацию в зашифрованном виде. Однако, предлагаемая по-умолчанию опция шифрования домашней папки при помощи ecryptfs во-первых не шифрует корневой раздел системы ((имея доступ к корневому разделу можно, например, получить список файлов в домашнем разделе, несмотря на то, что тот зашифрован)), а во-вторых ecryptfs шифрует раздел swap с применением случайно сгенерированного ключа, таким образом, перестает работать такая нужная в ноутбуках опция как спящий режим((т. е. режим приостановки работы компьютера, при котором все содержимое оперативной памяти сбрасывается на диск, а питание компьютера отключается)). | + | Данная статья рассказывает, как создать надёжно зашифрованное хранилище данных на жестком диске компьютера и при этом не сломать спящий и ждущий режимы. Особенно актуально это для владельцев ноутбуков, т. к. в отличие от стационарных компьютеров шанс кражи/утери ноутбука выше и возникает обоснованное желание хранить информацию в зашифрованном виде. Однако, предлагаемая по-умолчанию опция шифрования домашней папки при помощи ecryptfs во-первых не шифрует корневой раздел системы ((имея доступ к корневому разделу можно, например, получить список файлов в домашнем разделе, несмотря на то, что тот зашифрован)), а во-вторых ecryptfs шифрует раздел swap с применением случайно сгенерированного ключа, таким образом, перестает работать такая нужная в ноутбуках опция как спящий режим((т. е. режим приостановки работы компьютера, при котором все содержимое оперативной памяти сбрасывается на диск, а питание компьютера отключается))(([[https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap|Починка спящего режима для EncryptFs-swap]])). |
| Предлагается же создать один большой зашифрованный раздел размером с весь диск компьютера((за исключением небольшого не шифруемого раздела /boot)), поверх которого развернуть виртуальную группу LVM, в которой создать обычные (не шифрованные с точки зрения ОС) разделы /, /home и swap. При этом, пользователю придётся вводить пароль при каждом включении компьютера (даже при выходе из спящего режима), однако, за счёт смещения шифрования на более низкий уровень, ОС «не заметит» этого и все функции будут работать. | Предлагается же создать один большой зашифрованный раздел размером с весь диск компьютера((за исключением небольшого не шифруемого раздела /boot)), поверх которого развернуть виртуальную группу LVM, в которой создать обычные (не шифрованные с точки зрения ОС) разделы /, /home и swap. При этом, пользователю придётся вводить пароль при каждом включении компьютера (даже при выходе из спящего режима), однако, за счёт смещения шифрования на более низкий уровень, ОС «не заметит» этого и все функции будут работать. | ||
| + | <note important>Начиная с версии 12.10 возможность зашифровать весь диск целиком добавлена в варианты установки Ubuntu в стандартном инсталляторе.</note> | ||
| ===== Установка ===== | ===== Установка ===== | ||
| Строка 15: | Строка 16: | ||
| </note> | </note> | ||
| - | Загрузите систему с alternate — диска, выберите язык и приступите у установке: | + | Загрузите систему с alternate — диска, выберите язык и приступите к установке: |
| {{ :wiki:cryptsetup_screen_002.png?direct& |Загрузите систему с alternate — диска, выберите язык и приступите у установке.}} | {{ :wiki:cryptsetup_screen_002.png?direct& |Загрузите систему с alternate — диска, выберите язык и приступите у установке.}} | ||
| Строка 142: | Строка 143: | ||
| ===== Изменение пароля ===== | ===== Изменение пароля ===== | ||
| + | <note important> | ||
| Рекомендуется предварительно размонтировать все разделы, лежащие на зашифрованном диске, что в нашем случае означает, что для смены пароля на диске понадобится live-cd. | Рекомендуется предварительно размонтировать все разделы, лежащие на зашифрованном диске, что в нашем случае означает, что для смены пароля на диске понадобится live-cd. | ||
| - | Если вы не боитесь возможных последствий — можете пропустить этап с загрузкой live-cd и установкой необходимых программ, и сразу перейти к смене пароля. | + | Если вы не боитесь возможных последствий — можете пропустить этап с загрузкой live-cd и установкой необходимых программ, и сразу перейти к смене пароля.</note> |
| - | Загрузитесь с live-cd, выберите «Попробовать» и дождитесь полной загрузки системы. После этого, настройте подключение к интернету. Затем откройте терминал и выполните: | + | ==== Работа с live-cd ==== |
| + | |||
| + | Загрузитесь с live-cd((т.е. с обычного установочного диска Ubuntu)), выберите «Попробовать Ubuntu» и дождитесь полной загрузки системы. После этого, настройте подключение к интернету. | ||
| + | Затем откройте терминал и выполните: | ||
| + | <code> | ||
| sudo apt-get update | sudo apt-get update | ||
| sudo apt-get install lvm2 cryptsetup | sudo apt-get install lvm2 cryptsetup | ||
| + | </code> | ||
| + | |||
| После успешной установки, переходите к этапу «Смена пароля». | После успешной установки, переходите к этапу «Смена пароля». | ||
| - | LUKS использует в качестве идентификаторов доступа key slots, которые в данном случае выступают в виде пароля, однако могут быть и ключом. Всего доступно 8 слотов. По умолчанию (при создании шифрованного диска) используется слот №0. | + | ==== Смена пароля ==== |
| + | |||
| + | === Описание === | ||
| + | |||
| + | При установке диск шифруется при помощи связки LUKS и dm-crypt. LUKS использует в качестве идентификаторов доступа key slots, которые в данном случае выступают в виде пароля, однако могут быть и ключом. Всего доступно 8 слотов. По умолчанию (при создании шифрованного диска) используется слот 0. | ||
| Если вам нужно использовать компьютер совместно с другим человеком — вы можете создать для него отдельный пароль разблокировки диска. | Если вам нужно использовать компьютер совместно с другим человеком — вы можете создать для него отдельный пароль разблокировки диска. | ||
| Для операций со слотами — сначала нужно определиться с диском, на котором установлено шифрование. Выполните в терминале команду | Для операций со слотами — сначала нужно определиться с диском, на котором установлено шифрование. Выполните в терминале команду | ||
| + | <code> | ||
| sudo fdisk -l | sudo fdisk -l | ||
| + | </code> | ||
| + | Вывод будет примерно следующим: | ||
| + | <file> | ||
| Disk /dev/sda: 8589 MB, 8589934592 bytes | Disk /dev/sda: 8589 MB, 8589934592 bytes | ||
| 255 heads, 63 sectors/track, 1044 cylinders, total 16777216 sectors | 255 heads, 63 sectors/track, 1044 cylinders, total 16777216 sectors | ||
| Строка 170: | Строка 185: | ||
| Disk /dev/mapper/sda5_crypt: 7586 MB, 7586443264 bytes | Disk /dev/mapper/sda5_crypt: 7586 MB, 7586443264 bytes | ||
| + | ... | ||
| + | </file> | ||
| - | Она даст вам список разделов на диске. Нужно найти тот раздел, на котором присутствует зашифрованный раздел. В данном случае это sda5. | + | Она даст вам список разделов на диске. Нужно найти тот раздел, **на котором** присутствует зашифрованный раздел. В данном случае это sda5. |
| Теперь можно просмотреть состояние слотов на этом разделе: | Теперь можно просмотреть состояние слотов на этом разделе: | ||
| + | <code> | ||
| sudo cryptsetup luksDump /dev/sda5 | sudo cryptsetup luksDump /dev/sda5 | ||
| + | </code> | ||
| + | <file> | ||
| testuser@ubuntu:~$ sudo cryptsetup luksDump /dev/sda5 | testuser@ubuntu:~$ sudo cryptsetup luksDump /dev/sda5 | ||
| [sudo] password for testuser: | [sudo] password for testuser: | ||
| Строка 204: | Строка 224: | ||
| Key Slot 6: DISABLED | Key Slot 6: DISABLED | ||
| Key Slot 7: DISABLED | Key Slot 7: DISABLED | ||
| + | </file> | ||
| Видим, что слот 0 содержит пароль, а слоты 1-7 имеют статус DISABLED. | Видим, что слот 0 содержит пароль, а слоты 1-7 имеют статус DISABLED. | ||
| - | Устанавливаем новый ключ. | + | === Устанавливаем новый ключ === |
| + | Ввиду того, что необходим как минимум один активный слот, сменить пароль в обычном понимании на таком диске невозможно. Однако, можно создать пароль в другом слоте, а потом удалить первый слот. | ||
| + | Чтобы создать новый ключ, выполните: | ||
| + | <code> | ||
| sudo cryptsetup luksAddKey /dev/sda5 | sudo cryptsetup luksAddKey /dev/sda5 | ||
| Enter any passphrase: любой из существующих паролей (т. е. В нашем случае из слота 0) | Enter any passphrase: любой из существующих паролей (т. е. В нашем случае из слота 0) | ||
| Enter new passphrase for key slot: Новый пароль | Enter new passphrase for key slot: Новый пароль | ||
| Verify passphrase: Подтверждение нового пароля | Verify passphrase: Подтверждение нового пароля | ||
| + | </code> | ||
| + | |||
| Если теперь посмотреть слоты, то станет видно, что статус ENABLED стоит теперь уже у двух слотов: | Если теперь посмотреть слоты, то станет видно, что статус ENABLED стоит теперь уже у двух слотов: | ||
| - | testuser@ubuntu:~$ sudo cryptsetup luksDump /dev/sda5 | + | <code>sudo cryptsetup luksDump /dev/sda5</code> |
| - | LUKS header information for /dev/sda5 | + | <file> |
| - | Version: 1 | + | ... |
| - | Cipher name: aes | + | |
| - | Cipher mode: cbc-essiv:sha256 | + | |
| - | Hash spec: sha1 | + | |
| - | Payload offset: 2056 | + | |
| - | MK bits: 256 | + | |
| - | MK digest: cd 6d 79 1b 55 11 e9 04 2f ae 51 7d d5 02 8d ec 40 38 3f ef | + | |
| - | MK salt: c2 b3 1a 4f e7 ed 13 16 40 0b 45 af 43 10 de 24 | + | |
| - | f8 fe bd d8 09 be 71 e6 e0 6f bd ea b9 33 78 c7 | + | |
| - | MK iterations: 22250 | + | |
| - | UUID: 358a958b-c2ce-4626-8cd3-58124ddc15eb | + | |
| Key Slot 0: ENABLED | Key Slot 0: ENABLED | ||
| Строка 245: | Строка 261: | ||
| Key Slot 6: DISABLED | Key Slot 6: DISABLED | ||
| Key Slot 7: DISABLED | Key Slot 7: DISABLED | ||
| + | </file> | ||
| Теперь можно удалить старый пароль, находящийся в слоте 0: | Теперь можно удалить старый пароль, находящийся в слоте 0: | ||
| + | <code> | ||
| sudo cryptsetup luksKillSlot /dev/sda5 0 | sudo cryptsetup luksKillSlot /dev/sda5 0 | ||
| + | -------тут нужно указывать номер слота ^ | ||
| Enter any remaining LUKS passphrase:Пароль из слота 1 (т. е. Из любого оставшегося слота) | Enter any remaining LUKS passphrase:Пароль из слота 1 (т. е. Из любого оставшегося слота) | ||
| + | </code> | ||
| + | |||
| Смотрим слоты: | Смотрим слоты: | ||
| - | testuser@ubuntu:~$ sudo cryptsetup luksDump /dev/sda5 | + | <code>sudo cryptsetup luksDump /dev/sda5</code> |
| - | LUKS header information for /dev/sda5 | + | <file> |
| - | + | ... | |
| - | Version: 1 | + | |
| - | Cipher name: aes | + | |
| - | Cipher mode: cbc-essiv:sha256 | + | |
| - | Hash spec: sha1 | + | |
| - | Payload offset: 2056 | + | |
| - | MK bits: 256 | + | |
| - | MK digest: cd 6d 79 1b 55 11 e9 04 2f ae 51 7d d5 02 8d ec 40 38 3f ef | + | |
| - | MK salt: c2 b3 1a 4f e7 ed 13 16 40 0b 45 af 43 10 de 24 | + | |
| - | f8 fe bd d8 09 be 71 e6 e0 6f bd ea b9 33 78 c7 | + | |
| - | MK iterations: 22250 | + | |
| - | UUID: 358a958b-c2ce-4626-8cd3-58124ddc15eb | + | |
| Key Slot 0: DISABLED | Key Slot 0: DISABLED | ||
| Key Slot 1: ENABLED | Key Slot 1: ENABLED | ||
| Строка 278: | Строка 287: | ||
| Key Slot 6: DISABLED | Key Slot 6: DISABLED | ||
| Key Slot 7: DISABLED | Key Slot 7: DISABLED | ||
| + | </file> | ||
| И видим, что слот 0 стал DISABLED. | И видим, что слот 0 стал DISABLED. | ||
| + | ===== Заключение ===== | ||
| + | |||
| + | Вот и все. Информация на диске надёжно защищена. Однако, не стоит забывать, что существует большое количество различных угроз, и ваши данные все еще могут быть доступны злоумышленнику, в то время, пока компьютер включён, все диски "открыты". И конечно же, в случае кражи, шифрование спасет ваши данные от злоумышленника, но не вернет их вам, так что не забывайте делать резервные копии. | ||
| + | |||
| + | ===== Ссылки ===== | ||
| + | |||
| + | Статья написана по мотивам [[http://joernfranz.net/2011/01/20/installing-ubuntu-10-10-with-full-disk-encryption/|вот этой вот статьи]]. | ||
| + | |||
| + | {{tag>Система Настройка_системы Cryptsetup LUKS LVM Шифрование}} | ||
