Информация
На главную Главная

Мой t-cards.ru
Войти Войти
Зарегистрироваться Регистрация

Разное
Форум Форум
Вернуться Форумы на t-cards.ru> Hard"n"Soft
Логин
Пароль
Регистрация Участники Поиск >> FAQ


Сообщения в теме: "Шифрование данных на линукс..."
16.11.2007 12:04
Admin

Регистрация: 01.12.2005
Проживание: Москва
Сообщения: 69
По умолчаниюШифрование данных на линукс

Итак как можно шифровать данные на Gentoo Linux
мы будем шифровать отдельный файл где будем хранить шифрованную область
для начала создадим файл
#dd if=/dev/zero of=encrypted.iso bs=1024 count=600000
таким образом мы создали файл размером 614 мегабайт для хранения нашей приватной инфы
теперь мы его зашифруем
#losetup -e AES256 -T /dev/loop0 encrypted.iso
он запросит у вас пароль шифрования введете два раза и получите шифрованную область

теперь надо создать там файловую систему
#mkreiserfs /dev/loop0

всё готово

выполним
# losetup -d /dev/loop0
чтобы отключить шифрованный диск

теперь можно начинать использовать шифрованную область
дайте её куданить подмонтируем
#mount /mnt/data3/encrypted.iso /mnt/iso/ -o loop=/dev/loop0,encryption=AES
он запросит пароль и подмонтирует
всё можно юзать, она автоматически размонтируется при перезагрузке, а если снова понадобиться то как подмонтировать мы уже знаем

P.S.
Таким образом вместо файла можно шифровать целые разделы
некоторые умельцы шифруют рутовый раздел, тогда уже никому не добраться до вашей линухи

P.S.S.
если будут болты то в ядре в устроствах надо включить
<*> Loopback device support
\ Cryptoloop Support
и в шифровании включить нужные нам алгоритмы шифрования
18.02.2008 10:14
Admin

Регистрация: 05.10.2005
Проживание: Москва
Сообщения: 272
По умолчаниюШифрование данных на линукс

И надо еще добавить, что скорость чтения/записи падает в полтора-два раза, в зависимости от процессора и исходной скорости работы с диском.
07.04.2008 17:05
Admin

Регистрация: 05.10.2005
Проживание: Москва
Сообщения: 272
По умолчаниюШифрование данных на линукс

У меня тут недавно перестал монтироваться шифрованный диск... Я думал, что это после пропадания питания накернилось и уже с данными попрощался, однако потом совершеннно случайно нашел причину - я недавно апгрейдил пакет util-linux до версии 2.13.1, а сейчас вот откатился до 2.12r-r8 и всё заработало!!!
02.07.2008 14:48
Новичок

Регистрация: 02.07.2008
Проживание: Moscow
Сообщения: 3
По умолчаниюШифрование данных на линукс

Если создавать шифрованную область на пакете util-linux-2.13.1, то всё замечательно монтируется. Т.е. не монтируются области, созданные на старом пакете...
22.10.2008 14:48
Admin

Регистрация: 05.10.2005
Проживание: Москва
Сообщения: 272
По умолчаниюШифрование данных на линукс

А теперь опишу технологию шифрования с использованием dm-crypt.
Как выяснилось, cryptoloop устарел и есть методы, обеспечивающие бОльшую скорость чтения/записи.

Делаем следующее:

1. В ядре включаем опции (там же, где модули райдов):

<*> Device mapper support
<*> Crypt target support


2. Буду использовать алгоритм aes с хэшем md5, так что эти модули тоже надо включиь в ядро (в разделе криптографии):

<*> MD5 digest algorithm
-*- AES cipher algorithms
<*> AES cipher algorithms (x86_64)


3. Далее ставим утилиту

emerge cryptsetup


4. Создаем файловую систему на исходном разделе, который будем шифровать (если уже есть данные, то этот шаг пропускаем, надо лишь проверить раздел на наличие ошибок утилитой fsck):

mkreiserfs /dev/sda3

5. Создаем криптодевайс crypt0 (будет создан как /dev/mapper/crypt0) на базе раздела /dev/sda3:

cryptsetup -c aes -h md5 -y -b `blockdev --getsize /dev/sda3` create crypt0 /dev/sda3


6. Выполняем шифрование раздела (надо чуть подождать)

dd if=/dev/sda3 of=/dev/mapper/crypt0 bs=4k

Будьте внимательны! Эта команда затрет нешифрованные данные шифрованными, убедитеть в правильности, и в том, что вы проверили раздел на ошибки перед этим.

Итак, готово! Можно подмонтировать

mount /dev/mapper/crypt0 /home

Чтобы размонтировать, надо следующее:

umount /dev/mapper/crypt0 -l
cryptsetup remove /dev/mapper/crypt0


Чтобы при старте подмонтировать, надо следующее:

cryptsetup -c aes -h md5 -y -b `blockdev --getsize /dev/sda3` create crypt0 /dev/sda3
mount /dev/mapper/crypt0 /home


Недостатки:
1. Нельзя делать шифрованный раздел из файла напрямую, надо делать промежуточный шаг в виде iso - loop device
2. При создании устройства требуется полное копирование данных раздела.

Достоинства (о да!!):
1. Можно хранить пароль на флешке и при старте монтировать автоматически (есть служба dmcrypt).
2. Не требуется никаких userspace-утилит для поддержки (для cryptoloop например требуется util-linux, с которым можно хлебнуть горя)
3. Есть возможность зашифровать раздел с имеющимися данными.
4. Скорость записи на cryptoloop - 11 Мбайт/сек, на dm-crypt - 34 Мбайт/сек, что назвается просто "отлижите зад"

И еще понаблюдайте за загрузкой проца - разница очень существенна!
19.11.2008 13:47
Admin

Регистрация: 01.12.2005
Проживание: Москва
Сообщения: 69
По умолчаниюШифрование данных на линукс

Небольшое howto
Если у вас вдруг побилась файловая система и вам надо её проверить, но система не дает так как примонтированный диск нельзя проверить
Можно выкрутиться следующий омбразом, не монтировать а только расшифровать раздел
команда
losetup -e aes128 /dev/loop0 /dev/md0
После чего он запросит пароль на раздел, расшифрует его и проверять его можно будет как
/dev/loop0