navodila:enkripcija_domace_mape

Enkripcija domače mape (in swap ter /var)

Viri:

V večji meri sem se držal članka na archwikiju. Treba pa je dodat, da je enkripcija domače mape na GNU/Linux operacijskem sistemu precej enostavnejša, če se za njo odločiš ob namestitvi operacijskega sistema. Ta navodila bodo sicer opisovala zahtevnejši primer, da kriptirano /home, /var in swap particije.

Navodila pridejo v poštev tudi za kriptiranje samo domače mape, potem samo ni treba telovadit z lvm.

Najprej naložimo programa lvm2 in cryptsetup. Lvm je logical volume manager in omogoča razdelitev posamezne partcijije na več manjših. Cryptsetup pa je orodje za vzpostavljanje kriptografskih zvezkov (volume). 

 sudo apt-get install lvm2 cryptsetup

Na zunanji disk prenesemo kopije /home in /var datotek. Uporabimo ukaz rsync z zastavicami -avh, ki poskrbijo, da se ohranijo dovoljenja na datotekah. Nato vse tri particije združimo v eno zapisano v ext4 podatkovnem sistemu. Za to sta priročni orodji parted in gparted. 

# povsod spredaj manjka sudo
cryptsetup luksFormat /dev/sda1

cryptsetup open /dev/sda1 cryptlvm

pvcreate /dev/mapper/cryptlvm

vgcreate MyVolGroup /dev/mapper/cryptlvm

lvcreate -L 8G MyVolGroup -n swap
lvcreate -L 32G MyVolGroup -n root
lvcreate -l 100%FREE MyVolGroup -n home

mkfs.ext4 /dev/MyVolGroup/root
mkfs.ext4 /dev/MyVolGroup/home
mkswap /dev/MyVolGroup/swap

#Testiranje
mkdir /mnt/home
mkdir /mnt/var
mount /dev/MyVolGroup/home /mnt/home
mount /dev/MyVolGroup/var /mnt/var
swapon /dev/MyVolGroup/swap

Sedaj smo kriptirali particijo na njej pa smo ustvarili 3 logične podparticije za domačo mapo, particijo za izmenjevanje delovnega spomina in particijo za drugo programje. Na tej točki lahko na prenesemo dokumente nazaj na home in var particijo iz našega trdega diska (spet rsync -avh, da se ohranijo dovolilnice).

Zajahanje particije

Vir

Manjka nam še konfiguracije sistema, da se bodo particije pričvrstile na pravilna mesta (mount) ob zagonu operacijskega sistema.

Najprej uredimo fajl /etc/crypttab in vanj vnesemo kriptirano particijo: 

# <target name>	<source device>		<key file>	<options>
cryptlvm         UUID=a485281a-f011-4f68-8ea6-d2aad91c1717          none      luks

Unikatni identifikator particije lahko preberomo iz ukaza sudo blkid.

Nato pa moramo v fajl /etc/fstab dodati še tri logične particije: 

UUID=77917d9f-728d-41f4-8b0f-f1ddb0cbcbdf       /var       ext4    defaults,noatime    0     2
UUID=0ad98edc-8edd-4b83-97cc-c349edae8955       /home      ext4    defaults,noatime    0     2
UUID=6ecf5d94-e103-4b01-a9f9-bcccc13ce5c2       none       swap    sw                  0     0

Ko imamo to nastavljeno, lahko preverimo, če stvari pravilno delujejo z ukazom mount -a. Če ni napak, so se nam zvezki iz fstab pravilno zajahali.

Drugi pomožni ukazi: lsblk, fdisk -l

Če gre kaj narobe

  • Ponovno preglej, če se v /etc/crypttab in /etc/fstab ujemajo vsa imena.
  • Poglej, če imaš nameščena paketa cryptmount in cryptsetup-initramfs.
  • Kliči nekoga, ki ve, kako to dela..
  • navodila/enkripcija_domace_mape.txt
  • Last modified: 2020/04/18 21:16
  • by lio