Come impostare filesystem crittografati e spazio di swap utilizzando lo strumento "Cryptsetup" in Linux - Parte 3
Un LFCE (abbreviazione di Linux Foundation Certified Engineer) è formato e ha l'esperienza per installare, gestire e risolvere i problemi dei servizi di rete nei sistemi Linux ed è responsabile della progettazione, implementazione e manutenzione continua dell'architettura del sistema.
Presentazione del programma di certificazione Linux Foundation (LFCE).
L'idea alla base della crittografia è quella di consentire solo alle persone fidate di accedere ai tuoi dati sensibili e di proteggerli dal cadere nelle mani sbagliate in caso di smarrimento o furto del tuo computer/disco rigido.
In termini semplici, una chiave viene utilizzata per "bloccare" l'accesso alle tue informazioni, in modo che diventino disponibili quando il sistema è in esecuzione e sbloccato da un utente autorizzato. Ciò implica che se una persona tenta di esaminare il contenuto del disco (collegandolo al proprio sistema o avviando la macchina con un LiveCD/DVD/USB), troverà solo dati illeggibili invece dei file veri e propri.
In questo articolo discuteremo come impostare file system crittografati con dm-crypt (abbreviazione di device mapper e cryptographic), lo strumento di crittografia standard a livello di kernel. Tieni presente che poiché dm-crypt è uno strumento a livello di blocco, può essere utilizzato solo per crittografare dispositivi completi, partizioni o dispositivi in loop (non funzionerà su file o directory normali).
Preparazione di un'unità/partizione/dispositivo loop per la crittografia
Poiché cancelleremo tutti i dati presenti nell'unità scelta (/dev/sdb), prima di tutto, dobbiamo eseguire un backup di tutti i file importanti contenuti in quella partizione PRIMAprocedere oltre.
Cancella tutti i dati da /dev/sdb. Utilizzeremo il comando dd qui, ma potresti farlo anche con altri strumenti come shred. Successivamente, creeremo una partizione su questo dispositivo, /dev/sdb1, seguendo la spiegazione nella Parte 4 – Creare partizioni e filesystem in Linux della serie LFCS.
dd if=/dev/urandom of=/dev/sdb bs=4096
Test per il supporto della crittografia
Prima di procedere oltre, dobbiamo assicurarci che il nostro kernel sia stato compilato con il supporto per la crittografia:
grep -i config_dm_crypt /boot/config-$(uname -r)
Come indicato nell'immagine sopra, il modulo del kernel dm-crypt deve essere caricato per impostare la crittografia.
Installazione di Cryptsetup
Cryptsetup è un'interfaccia frontend per creare, configurare, accedere e gestire file system crittografati utilizzando dm-crypt.
aptitude update && aptitude install cryptsetup [On Ubuntu]
yum update && yum install cryptsetup [On CentOS]
zypper refresh && zypper install cryptsetup [On openSUSE]
Configurazione di una partizione crittografata
La modalità operativa predefinita per cryptsetup è LUKS (Linux Unified Key Setup), quindi la manterremo. Inizieremo impostando la partizione LUKS e la passphrase:
cryptsetup -y luksFormat /dev/sdb1
Il comando sopra esegue cryptsetup con parametri predefiniti, che possono essere elencati con,
cryptsetup --version
Se desideri modificare i parametri cipher, hash o key, puoi utilizzare –cipher, < b>–hash e –key-size, rispettivamente, con i valori presi da /proc/crypto.
Successivamente, dobbiamo aprire la partizione LUKS (ci verrà richiesta la passphrase che abbiamo inserito in precedenza). Se l'autenticazione ha esito positivo, la nostra partizione crittografata sarà disponibile all'interno di /dev/mapper con il nome specificato:
cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
Ora formatteremo la partizione come ext4.
mkfs.ext4 /dev/mapper/my_encrypted_partition
e creare un punto di montaggio per montare la partizione crittografata. Infine, potremmo voler confermare se l'operazione di montaggio è riuscita.
mkdir /mnt/enc
mount /dev/mapper/my_encrypted_partition /mnt/enc
mount | grep partition
Una volta terminata la scrittura o la lettura dal file system crittografato, è sufficiente smontarlo
umount /mnt/enc
e chiudi la partizione LUKS usando,
cryptesetup luksClose my_encrypted_partition
Testare la crittografia
Infine, controlleremo se la nostra partizione crittografata è sicura:
1. Aprire la partizione LUKS
cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
2. Inserisci la tua passphrase
3. Montare la partizione
mount /dev/mapper/my_encrypted_partition /mnt/enc
4. Creare un file fittizio all'interno del punto di montaggio.
echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt
5. Verifica di poter accedere al file appena creato.
cat /mnt/enc/testfile.txt
6. Smontare il file system.
umount /mnt/enc
7. Chiudere la partizione LUKS.
cryptsetup luksClose my_encrypted_partition
8. Prova a montare la partizione come un normale file system. Dovrebbe indicare un errore.
mount /dev/sdb1 /mnt/enc
Crittografare lo spazio di swap per ulteriore sicurezza
La passphrase inserita in precedenza per utilizzare la partizione crittografata viene archiviata nella memoria RAM mentre è aperta. Se qualcuno riesce a mettere le mani su questa chiave, sarà in grado di decrittografare i dati. Ciò è particolarmente semplice nel caso di un laptop, poiché durante l'ibernazione il contenuto della RAM viene mantenuto nella partizione di swap.
Per evitare di lasciare una copia della tua chiave accessibile a un ladro, crittografa la partizione di swap seguendo questi passaggi:
1 Crea una partizione da utilizzare come swap con la dimensione appropriata (/dev/sdd1 nel nostro caso) e crittografala come spiegato in precedenza. Chiamalo semplicemente "scambia" per comodità.'
2.Impostalo come scambio e attivalo.
mkswap /dev/mapper/swap
swapon /dev/mapper/swap
3. Successivamente, modifica la voce corrispondente in /etc/fstab.
/dev/mapper/swap none swap sw 0 0
4. Infine, modifica /etc/crypttab e riavvia.
swap /dev/sdd1 /dev/urandom swap
Una volta terminato l'avvio del sistema, puoi verificare lo stato dello spazio di swap:
cryptsetup status swap
Riepilogo
In questo articolo abbiamo esplorato come crittografare una partizione e scambiare spazio. Con questa configurazione, i tuoi dati dovrebbero essere notevolmente al sicuro. Sentiti libero di sperimentare e non esitare a contattarci se hai domande o commenti. Utilizza semplicemente il modulo sottostante: saremo più che lieti di ascoltarti!