| Both sides previous revision Previous revision Next revision | Previous revision |
| navodila:enkripcija_domace_mape [2020/04/18 05:03] – lio | navodila:enkripcija_domace_mape [2020/04/18 21:16] (current) – lio |
|---|
| ====== Enkripcija domače mape ====== | ====== Enkripcija domače mape (in swap ter /var) ====== |
| |
| Viri: | Viri: |
| * [[https://medium.com/@authmane512/how-to-encrypt-several-partitions-on-debian-9-stretch-with-cryptsetup-lvm-c05d83657b9e|medium: How to encrypt several partitions]] | * [[https://medium.com/@authmane512/how-to-encrypt-several-partitions-on-debian-9-stretch-with-cryptsetup-lvm-c05d83657b9e|medium: How to encrypt several partitions]] |
| * [[https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#LVM_on_LUKS|archwiki LVM on LUKS]] | * [[https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#LVM_on_LUKS|archwiki LVM on LUKS]] |
| V večji meri sem se držal članka na archwikiju. Treba pa je dodat, da je enkripcija domače mape na GNU/Linux operacijskem sistemu precej enostavnejša, če se za njo odločiš ob namestitvi operacijskega sistema. Ta navodila bodo sicer opisovala zahtevnejši primer, da kriptirano `/home, /var` in `swap` particije. | |
| |
| Najprej naložimo programa `lvm2` in `cryptsetup`. [[https://en.wikipedia.org/wiki/Logical_Volume_Manager_(Linux)|Lvm]] je logical volume manager in omogoča razdelitev posamezne partcijije na več manjših. [[https://linux.die.net/man/8/cryptsetup|Cryptsetup]] pa je orodje za vzpostavljanje kriptografskih zvezkov (volume). | V večji meri sem se držal članka na archwikiju. Treba pa je dodat, da je enkripcija domače mape na GNU/Linux operacijskem sistemu precej enostavnejša, če se za njo odločiš ob namestitvi operacijskega sistema. Ta navodila bodo sicer opisovala zahtevnejši primer, da kriptirano ''/home, /var'' in ''swap'' particije. |
| | |
| | Navodila pridejo v poštev tudi za [[https://feeding.cloud.geek.nz/posts/encrypting-your-home-directory-using/|kriptiranje samo domače mape]], potem samo ni treba telovadit z ''lvm''. |
| | |
| | Najprej naložimo programa ''lvm2'' in ''cryptsetup''. [[https://en.wikipedia.org/wiki/Logical_Volume_Manager_(Linux)|Lvm]] je logical volume manager in omogoča razdelitev posamezne partcijije na več manjših. [[https://linux.die.net/man/8/cryptsetup|Cryptsetup]] pa je orodje za vzpostavljanje kriptografskih zvezkov (volume). |
| |
| <code> sudo apt-get install lvm2 cryptsetup</code> | <code> sudo apt-get install lvm2 cryptsetup</code> |
| |
| Na zunanji disk preneseom kopije `/home` in `/var` datotek, nato pa vse tri particije združimo v eno zapisano v `ext4` podatkovnem sistemu. Za to sta priročni orodji [parted](https://www.gnu.org/software/parted/manual/parted.html) in [gparted](https://gparted.org/). | Na zunanji disk prenesemo kopije ''/home'' in ''/var'' datotek. Uporabimo ukaz ''rsync'' z zastavicami ''-avh'', ki poskrbijo, da se ohranijo dovoljenja na datotekah. Nato vse tri particije združimo v eno zapisano v ''ext4'' podatkovnem sistemu. Za to sta priročni orodji [parted](https://www.gnu.org/software/parted/manual/parted.html) in [gparted](https://gparted.org/). |
| |
| <code> | <code> |
| | # povsod spredaj manjka sudo |
| cryptsetup luksFormat /dev/sda1 | cryptsetup luksFormat /dev/sda1 |
| |
| |
| #Testiranje | #Testiranje |
| mount /dev/MyVolGroup/root /mnt | |
| mkdir /mnt/home | mkdir /mnt/home |
| | mkdir /mnt/var |
| mount /dev/MyVolGroup/home /mnt/home | mount /dev/MyVolGroup/home /mnt/home |
| | mount /dev/MyVolGroup/var /mnt/var |
| swapon /dev/MyVolGroup/swap | swapon /dev/MyVolGroup/swap |
| </code> | </code> |
| |
| Sedaj smo kriptirali particijo na njej pa smo ustvarili 3 logične podparticije za domačo mapo, particijo za izmenjevanje delovnega spomina in particijo za drugo programje. | Sedaj smo kriptirali particijo na njej pa smo ustvarili 3 logične podparticije za domačo mapo, particijo za izmenjevanje delovnega spomina in particijo za drugo programje. Na tej točki lahko na prenesemo dokumente nazaj na ''home'' in ''var'' particijo iz našega trdega diska (spet ''rsync -avh'', da se ohranijo dovolilnice). |
| | |
| | === Zajahanje particije === |
| | |
| | [[https://web.math.rochester.edu/people/faculty/akrish11//2018/04/28/debian-cryptroot.html|Vir]] |
| |
| Manjka nam še konfiguracije sistema, da se bodo particije pričvrstile na pravilna mesta (mount) ob zagonu operacijskega sistema. | Manjka nam še konfiguracije sistema, da se bodo particije pričvrstile na pravilna mesta (mount) ob zagonu operacijskega sistema. |
| |
| Najprej uredimo fajl `/etc/crypttab` in vanj vnesemo kriptirano particijo: | Najprej uredimo fajl ''/etc/crypttab'' in vanj vnesemo kriptirano particijo: |
| <file> | <file> |
| # <target name> <source device> <key file> <options> | # <target name> <source device> <key file> <options> |
| cryptlvm UUID=a485281a-f011-4f68-8ea6-d2aad91c1717 none luks | cryptlvm UUID=a485281a-f011-4f68-8ea6-d2aad91c1717 none luks |
| </file> | </file> |
| Unikatni identifikator particije lahko preberomo iz ukaza `sudo blkid`. | Unikatni identifikator particije lahko preberomo iz ukaza ''sudo blkid''. |
| |
| Nato pa moramo v fajl `/etc/fstab` dodati še tri logične particije: | Nato pa moramo v fajl ''/etc/fstab'' dodati še tri logične particije: |
| <file> | <file> |
| UUID=77917d9f-728d-41f4-8b0f-f1ddb0cbcbdf /var ext4 defaults,noatime 0 2 | UUID=77917d9f-728d-41f4-8b0f-f1ddb0cbcbdf /var ext4 defaults,noatime 0 2 |
| UUID=6ecf5d94-e103-4b01-a9f9-bcccc13ce5c2 none swap sw 0 0 | UUID=6ecf5d94-e103-4b01-a9f9-bcccc13ce5c2 none swap sw 0 0 |
| </file> | </file> |
| | |
| | Ko imamo to nastavljeno, lahko preverimo, če stvari pravilno delujejo z ukazom ''mount -a''. Če ni napak, so se nam zvezki iz fstab pravilno zajahali. |
| | |
| | Drugi pomožni ukazi: ''lsblk'', ''fdisk -l'' |
| |
| === Če gre kaj narobe === | === Če gre kaj narobe === |
| |
| Poglej, če imaš nameščen paket `cryptmount`. | - Ponovno preglej, če se v ''/etc/crypttab'' in ''/etc/fstab'' ujemajo vsa imena. |
| | - Poglej, če imaš nameščena paketa ''cryptmount'' in ''cryptsetup-initramfs''. |
| | - Kliči nekoga, ki ve, kako to dela.. |
| | |
| |
| |