Enkripcija domače mape (in swap ter /var)
Viri:
V večji meri sem se držal članka na archwikiju. Treba pa je dodat, da je enkripcija domače mape na GNU/Linux operacijskem sistemu precej enostavnejša, če se za njo odločiš ob namestitvi operacijskega sistema. Ta navodila bodo sicer opisovala zahtevnejši primer, da kriptirano /home, /var
in swap
particije.
Navodila pridejo v poštev tudi za kriptiranje samo domače mape, potem samo ni treba telovadit z lvm
.
Najprej naložimo programa lvm2
in cryptsetup
. Lvm je logical volume manager in omogoča razdelitev posamezne partcijije na več manjših. Cryptsetup pa je orodje za vzpostavljanje kriptografskih zvezkov (volume).
sudo apt-get install lvm2 cryptsetup
Na zunanji disk prenesemo kopije /home
in /var
datotek. Uporabimo ukaz rsync
z zastavicami -avh
, ki poskrbijo, da se ohranijo dovoljenja na datotekah. Nato vse tri particije združimo v eno zapisano v ext4
podatkovnem sistemu. Za to sta priročni orodji parted in gparted.
# povsod spredaj manjka sudo cryptsetup luksFormat /dev/sda1 cryptsetup open /dev/sda1 cryptlvm pvcreate /dev/mapper/cryptlvm vgcreate MyVolGroup /dev/mapper/cryptlvm lvcreate -L 8G MyVolGroup -n swap lvcreate -L 32G MyVolGroup -n root lvcreate -l 100%FREE MyVolGroup -n home mkfs.ext4 /dev/MyVolGroup/root mkfs.ext4 /dev/MyVolGroup/home mkswap /dev/MyVolGroup/swap #Testiranje mkdir /mnt/home mkdir /mnt/var mount /dev/MyVolGroup/home /mnt/home mount /dev/MyVolGroup/var /mnt/var swapon /dev/MyVolGroup/swap
Sedaj smo kriptirali particijo na njej pa smo ustvarili 3 logične podparticije za domačo mapo, particijo za izmenjevanje delovnega spomina in particijo za drugo programje. Na tej točki lahko na prenesemo dokumente nazaj na home
in var
particijo iz našega trdega diska (spet rsync -avh
, da se ohranijo dovolilnice).
Zajahanje particije
Manjka nam še konfiguracije sistema, da se bodo particije pričvrstile na pravilna mesta (mount) ob zagonu operacijskega sistema.
Najprej uredimo fajl /etc/crypttab
in vanj vnesemo kriptirano particijo:
# <target name> <source device> <key file> <options> cryptlvm UUID=a485281a-f011-4f68-8ea6-d2aad91c1717 none luks
Unikatni identifikator particije lahko preberomo iz ukaza sudo blkid
.
Nato pa moramo v fajl /etc/fstab
dodati še tri logične particije:
UUID=77917d9f-728d-41f4-8b0f-f1ddb0cbcbdf /var ext4 defaults,noatime 0 2 UUID=0ad98edc-8edd-4b83-97cc-c349edae8955 /home ext4 defaults,noatime 0 2 UUID=6ecf5d94-e103-4b01-a9f9-bcccc13ce5c2 none swap sw 0 0
Ko imamo to nastavljeno, lahko preverimo, če stvari pravilno delujejo z ukazom mount -a
. Če ni napak, so se nam zvezki iz fstab pravilno zajahali.
Drugi pomožni ukazi: lsblk
, fdisk -l
Če gre kaj narobe
- Ponovno preglej, če se v
/etc/crypttab
in/etc/fstab
ujemajo vsa imena. - Poglej, če imaš nameščena paketa
cryptmount
incryptsetup-initramfs
. - Kliči nekoga, ki ve, kako to dela..