Fedora Linux - шифрование файлов


Spacer

Избранные статьи

Сайт недорого!
Контент-маркетинг
Реклама в Интернет
Двойная загрузка Ubuntu и Windows 8
Как сделать двойную загрузку Ubuntu 14.04 и Windows 8 ...
Установка программ на Андроид
Установка новых программ на Андроид вполне проста. Есть два способа ...
Как раздать Интернет по WiFi на Windows 7
... инструкция как раздать WiFi с Windows 7 ...
Точка доступа WiFi на Андроид
... инструкция как раздать WiFi с Андроида ...
Точка доступа WiFi на Windows 8.1
... инструкция как раздать WiFi с Windows 8.1 ...
USB модем Билайн, Мегафон, МТС
не работает, не подключается - что делать?
Раздача интернета по сети
Как расшарить интернет по сети Linux и Windows...
Точка доступа на Ubuntu 12.04
...Создание WiFi точки доступа на Ubuntu 12.04...
Настроить WiFi на Windows 7
...в этой статье будет описан процесс настройки шаг за шагом с иллюстрациями...
DSL, FTTx - настройка интернета МТС, Ростелеком
Настройка pppoe соединения в Windows 7...
Инструкция по Андроид
...Обзор и описание графического интерфейса Андроид (Android)...
Как расшарить файлы и папки Linux
... сетевой доступ без пароля на Linux...
Настройка Ubuntu 14.04
... скорость и удобство работы Ubuntu 14.04 ...
Как выбрать SSD?
... характеристики SSD ... функции SSD...
Как выбрать монитор?
... характеристики монитора ... функции монитора...
Как выбрать планшет?
... характеристики планшета ... функции планшета...
Как выбрать фотоаппарат
... будет описано устройство фотоаппарата ... перечислены виды фотоаппаратов...
Установка Windows 7 c USB-флешки
Используя USB Flash можно установить Windows 7...
Установка Ubuntu 12.04 LTS ...
простая инструкция как установить Linux Ubuntu 12.04 поверх Windows 7 ...
Установка Windows XP/7 на нетбук
Сложность установки Windows XP на нетбуки заключается в том, что эти компьютеры не имеют CD-DVD приводов ...
Загрузочная установочная USB-флешка Windows 7 или 8
...Как сделать установочную USB-Flash Windows 7 или 8...
Как записывать диски ...
... Теория и практика записи CD и DVD дисков ...
Как записать MP3 ...
Запись диска с mp3 треками, который может быть прочитан в бытовых mp3 плеерах ...
Флешка CD-ROM
как создать USB CD-ROM из флеш-диска Apacer ...
Записываемые CD и DVD диски ...
На сегодняшний день (начало 2005 года) существует три базовых типа (формата) записываемых дисков DVD ...
 

Преамбула - шифрование данных на диске

Это единственный надежный способ защиты информации, в условиях, когда возможен физический доступ посторонних людей к компьютеру. Пароль на запуск любой операционной системы - Windows, Linux или Mac OS, может спасти только от детей. Любой специалист обойдет парольную защиту за пару минут - примерно столько времени нужно для того, чтобы воткнуть в компьютер флешку и загрузить свою операционную систему с нее.

А вот зашифрованные данные вскрыть уже гораздо труднее. Или вообще невозможно без цифрового ключа или ключевой фразы. Конечно существуют разные алгоритмы шифрования и внутри этих алгоритмов существуют разные параметры - все это влияет на устойчивость к взлому. И при использовании нестойких алгоритмов или уязвимых параметров можно получить доступ к зашифрованным фалам и папкам. Но в общем случае можно считать что шифрование это надежная защита данных.

Наиболее распространенный способ защиты данных это шифрование файлов. На диске создается шифрованная папка, в нее записываются файлы. Теоретически это надежно, если используется алгоритм AES, ключи большой длины, хорошие параметры. Но остается неочевидная уязвимость данных при таком способе шифрования. Дело в том, что операционная система остается незащищенной. А это дает злоумышленнику возможность установить в систему специальную программу, (кейлогер, руткит) которая будет запускаться при старте ОС и отслеживать действия пользователя. Таким образом, рано или поздно, злоумышленник получит пароль или ключевой файл для доступа к зашифрованным папкам и файлам.

Значит, действительно стойкая защита данных на диске это шифрование не отдельных файлов и папок, а всего раздела. Более того, для надежной защиты необходимо шифрование всего диска. "На поверхности" не должно оставаться ничего. В этой статье будет дана инструкция как создать шифрованный системный раздел и диск в ОС Linux Fedora.

Шифрованная файловая система в Linux поддерживается на уровне ядра операционной системы. То есть не нужно искать какие-то навороченные криптографические программы и более того, использование шифрованных разделов Linux происходит прозрачно - пользователю ничего не нужно знать о шифровании и ничего не нужно делать для шифрования своих файлов и папок.

Для того, чтобы создать надежную шифрованную систему под Linux нужно понимать какие части этой системы нужно защищать. Их четыре:

  • Системная область - обозначается как root или /.
  • Загрузочная область - обозначается как /boot. Может располагаться на отдельном разделе или на разделе root в виде папки.
  • Область пользовательских данных - обозначается как /home. Может располагаться на отдельном разделе или на разделе root в виде папки.
  • Область виртуальной памяти - обозначается как swap.  Чаще всего размещается на отдельном разделе, но может располагаться на разделе root в виде файла.

Защищать нужно все эти области.

В статье будет рассмотрена упрощенная конфигурация - swap и /boot на отдельных разделах, а root и /home совмещены на одном разделе. Но для более сложных случаев технология защиты будет такая же.

С шифрованием областей root, swap и /home никаких трудностей нет, а вот с защитой /boot есть проблема. Дело в том, что из этой области системный загрузчик запускает initrd и ядро Linux. Если эту область зашифровать, тогда загрузчик не сможет запустить ядро и соответственно запуск ОС будет невозможен. То есть зашифровать /boot нельзя, но и оставлять открытой тоже нельзя, ведь в этом случае будет возможна подмена ядра, на другое, содержащее зловредный код, который перехватит пароль для расшифровки диска.

Выход в том, чтобы разместить раздел /boot на съемном носителе, на флешке. Флешка будет своего рода электронным ключом к системе. Без нее запуск ОС с зашифрованного диска будет невозможен. То есть защита раздела /boot осуществляется на физическом уровне - извлечением его из компьютера.

Таким образом общая схема защиты такова:

  • Разделы root, swap и /home размещаются на полностью зашифрованном жестком диске.
  • Раздел /boot размещается на съемном носителе.

Установка шифрованной Федоры будет выполняться с использованием Fedora 16 Live. "Живой" релиз, в отличии от Ubuntu Live (статья Шифрование Ubuntu), не только содержит пакет lvm2, но и сам установщик имеет опцию создания шифрованного диска и установки на этот зашифрованный диск. Так что все делается легко и быстро.

Fedora Linux - установка на шифрованный диск

Втыкаете флешку, на которую будет установлен раздел /boot. И затем запускаете установщик в котором шаг за шагом указываете параметры установки. На шаге № 6 нужно указать вот такие параметры:

Если вы уверенно владеете Linux, тогда на этом шаге можете указать параметр "Create custom layout". Это даст вам возможность ручную разделить диск на нужное вам количество разделов.

На следующем шаге нужно перместить в правую панель диск на который будет установлена Федора, а также флешку на которую будет установлен раздел /boot. Причем для флешки нужно поставить отметку "Boot Loader":

После этого установщик выдаст информацию о том, как будут размечены диски и сформированы шифрованные тома:

Из информации на этом скриншоте видно, что жесткий диск sda будет зашифрован полностью - будет создан криптоконтейнер sda1, в котором будут созданы разделы root, swap и home. А раздел boot будет размещен на флешке sdc.

Жмете кнопку "Далее" и на последующих шагах указываете оставшиеся параметры установки, в том числе и ключевую фразу для доступа к зашифрованному диску.

Важное примечание.

Эта фраза должна быть длинной и не должна содержать часто повторяющихся знаков. В идеале это должен быть произвольный набор букв и цифр. Эту фразу лучше придумать заранее, еще до начала работы по созданию системы. Фразу вводите на английском языке!

После завершения установки перезагружаете компьютер, затем в BIOS в качестве устройства загрузки указываете флешку. После загрузки ядра с флешки вам будет выдан запрос на ключевую фразу - вводите эту фразу и после этого загружается Федора.

Все.

Fedora или Ubuntu

При том, что установка Fedora на зашифрованный диск проще, в сравнении с аналогичной установкой Ubuntu (статья Шифрование Ubuntu), тем не менее это не делает Fedora более привлекательным вариантом. Есть более существенные моменты в которых Ubuntu имеет преимущества перед Fedora. В первую очередь это более длительный цикл поддержки релизов. Релизы Fedora поддерживаются только в течении одного года. В том время как релизы Ubuntu LTS поддерживаются в течении трех лет.

В частности поддержка Fedora 16 будет завершена осенью 2012 года, а Ubuntu 10.04, которая вышла на полтора года раньше Федоры, будет поддерживаться до весны 2013 года. Более того, начиная с версии 12.04 которая выйдет в апреле этого года, LTS релизы Ubuntu будут поддерживаться в течении 5 лет! То есть обновления для версии Ubuntu 12.04 будут выпускаться до 2017 года!

Примечание

Важно понимать, что даже при таком тотальном шифровании сохраняются уязвимости.

  • Во-первых нужно сохранять в тайне ключевую фразу. Если вы ее запишите на стикер и приклеите на монитор это не хорошо. Если злоумышленник получит ключевую фразу, он сможет открыть ваш зашифрованный диск используя какой-либо Live дистрибутив Linux.
  • Во-вторых нужно на физическом уровне защищать загрузочную флешку. Не оставляйте ее без присмотра. Выключили компьютер - извлеките флешку и поместите ее в надежное место.
  • В-третьих нельзя оставлять без присмотра включенный компьютер. Когда компьютер включен, доступен и зашифрованный диск и загрузочная флешка.

Также необходимо понимать, что шифрование это защита на то время когда ваш компьютер выключен, а вас рядом нет. Но когда вы работаете на компьютере сохраняется возможность попадания на ваш компьютер вредоносных программ из Интернет. Такие программы могут "украсть" вашу информацию в то время как вы пользуетесь компьютером и Интернет.

Поэтому важно принимать и общие меры защиты. Не "шарахаться" где попало в Интернет. Не устанавливать непроверенные программы. Использовать брандмауэр. А при более серьезных требованиях к безопасности нужно другие средства, например tcb, SELinux, iptables.

Копия загрузочной флешки

Сделайте копию загрузочной флешки, проще всего командой dd. Запишите этот образ на другую флешку или на лазерный диск. Копия на другую флешку удобнее поскольку при необходимости вы сразу ее сможете использовать. Но в любом случае эту копию, на чем бы она ни была, нужно будет хранить в защищенном месте. А после обновления ядра или загрузчика необходимо будет обновлять копию флешки.

P.S.

Если вы живете в г. Краснодар, для вас есть простой способ установить Fedora Linux на шифрованный системный раздел - позвоните по телефону, который указан ниже и договоритесь со специалистом. Подробнее...

Иван Сухов, 2012 г.

Поделитесь этим сайтом с друзьями!

Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354. Или на телефон +7 918-16-26-331.

Или другими способами (с карты, с тедефона), через сервис безопасных платежей Яндекс.

Даже небольшая сумма может помочь написанию новых статей :)

Или разместите где-нибудь ссылку на эту статью.

Сопутствующие статьи

 

  Copyright digital.workshop 1999 - 2017.  
Это произведение доступно по лицензии Creative Commons Attribution-NoDerivs 3.0.
Developed by digital.workshop