====== Enkripcija domače mape (in swap ter /var) ======

Viri:
  * [[https://medium.com/@authmane512/how-to-encrypt-several-partitions-on-debian-9-stretch-with-cryptsetup-lvm-c05d83657b9e|medium: How to encrypt several partitions]]
  * [[https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#LVM_on_LUKS|archwiki LVM on LUKS]]

V večji meri sem se držal članka na archwikiju. Treba pa je dodat, da je enkripcija domače mape na GNU/Linux operacijskem sistemu precej enostavnejša, če se za njo odločiš ob namestitvi operacijskega sistema. Ta navodila bodo sicer opisovala zahtevnejši primer, da kriptirano ''/home, /var'' in ''swap'' particije.

Navodila pridejo v poštev tudi za [[https://feeding.cloud.geek.nz/posts/encrypting-your-home-directory-using/|kriptiranje samo domače mape]], potem samo ni treba telovadit z ''lvm''.

Najprej naložimo programa ''lvm2'' in ''cryptsetup''. [[https://en.wikipedia.org/wiki/Logical_Volume_Manager_(Linux)|Lvm]] je logical volume manager in omogoča razdelitev posamezne partcijije na več manjših. [[https://linux.die.net/man/8/cryptsetup|Cryptsetup]] pa je orodje za vzpostavljanje kriptografskih zvezkov (volume).

<code> sudo apt-get install lvm2 cryptsetup</code>

Na zunanji disk prenesemo kopije ''/home'' in ''/var'' datotek. Uporabimo ukaz ''rsync'' z zastavicami ''-avh'', ki poskrbijo, da se ohranijo dovoljenja na datotekah. Nato vse tri particije združimo v eno zapisano v ''ext4'' podatkovnem sistemu. Za to sta priročni orodji [parted](https://www.gnu.org/software/parted/manual/parted.html) in [gparted](https://gparted.org/).

<code>
# povsod spredaj manjka sudo
cryptsetup luksFormat /dev/sda1

cryptsetup open /dev/sda1 cryptlvm

pvcreate /dev/mapper/cryptlvm

vgcreate MyVolGroup /dev/mapper/cryptlvm

lvcreate -L 8G MyVolGroup -n swap
lvcreate -L 32G MyVolGroup -n root
lvcreate -l 100%FREE MyVolGroup -n home

mkfs.ext4 /dev/MyVolGroup/root
mkfs.ext4 /dev/MyVolGroup/home
mkswap /dev/MyVolGroup/swap

#Testiranje
mkdir /mnt/home
mkdir /mnt/var
mount /dev/MyVolGroup/home /mnt/home
mount /dev/MyVolGroup/var /mnt/var
swapon /dev/MyVolGroup/swap
</code>

Sedaj smo kriptirali particijo na njej pa smo ustvarili 3 logične podparticije za domačo mapo, particijo za izmenjevanje delovnega spomina in particijo za drugo programje. Na tej točki lahko na prenesemo dokumente nazaj na ''home'' in ''var'' particijo iz našega trdega diska (spet ''rsync -avh'', da se ohranijo dovolilnice).

=== Zajahanje particije ===

[[https://web.math.rochester.edu/people/faculty/akrish11//2018/04/28/debian-cryptroot.html|Vir]]

Manjka nam še konfiguracije sistema, da se bodo particije pričvrstile na pravilna mesta (mount) ob zagonu operacijskega sistema.

Najprej uredimo fajl ''/etc/crypttab'' in vanj vnesemo kriptirano particijo:
<file>
# <target name>	<source device>		<key file>	<options>
cryptlvm         UUID=a485281a-f011-4f68-8ea6-d2aad91c1717          none      luks
</file>
Unikatni identifikator particije lahko preberomo iz ukaza ''sudo blkid''.

Nato pa moramo v fajl ''/etc/fstab'' dodati še tri logične particije:
<file>
UUID=77917d9f-728d-41f4-8b0f-f1ddb0cbcbdf       /var       ext4    defaults,noatime    0     2
UUID=0ad98edc-8edd-4b83-97cc-c349edae8955       /home      ext4    defaults,noatime    0     2
UUID=6ecf5d94-e103-4b01-a9f9-bcccc13ce5c2       none       swap    sw                  0     0
</file>

Ko imamo to nastavljeno, lahko preverimo, če stvari pravilno delujejo z ukazom ''mount -a''. Če ni napak, so se nam zvezki iz fstab pravilno zajahali.

Drugi pomožni ukazi: ''lsblk'', ''fdisk -l''

=== Če gre kaj narobe ===

  - Ponovno preglej, če se v ''/etc/crypttab'' in ''/etc/fstab'' ujemajo vsa imena.
  - Poglej, če imaš nameščena paketa ''cryptmount'' in ''cryptsetup-initramfs''.
  - Kliči nekoga, ki ve, kako to dela..