Fedora Linux - шифрование файлов
Избранные статьи
|
Преамбула - шифрование данных на дискеЭто единственный надежный способ защиты информации, в условиях, когда возможен физический доступ посторонних людей к компьютеру. Пароль на запуск любой операционной системы - Windows, Linux или Mac OS, может спасти только от детей. Любой специалист обойдет парольную защиту за пару минут - примерно столько времени нужно для того, чтобы воткнуть в компьютер флешку и загрузить свою операционную систему с нее. А вот зашифрованные данные вскрыть уже гораздо труднее. Или вообще невозможно без цифрового ключа или ключевой фразы. Конечно существуют разные алгоритмы шифрования и внутри этих алгоритмов существуют разные параметры - все это влияет на устойчивость к взлому. И при использовании нестойких алгоритмов или уязвимых параметров можно получить доступ к зашифрованным фалам и папкам. Но в общем случае можно считать что шифрование это надежная защита данных. Наиболее распространенный способ защиты данных это шифрование файлов. На диске создается шифрованная папка, в нее записываются файлы. Теоретически это надежно, если используется алгоритм AES, ключи большой длины, хорошие параметры. Но остается неочевидная уязвимость данных при таком способе шифрования. Дело в том, что операционная система остается незащищенной. А это дает злоумышленнику возможность установить в систему специальную программу, (кейлогер, руткит) которая будет запускаться при старте ОС и отслеживать действия пользователя. Таким образом, рано или поздно, злоумышленник получит пароль или ключевой файл для доступа к зашифрованным папкам и файлам. Значит, действительно стойкая защита данных на диске это шифрование не отдельных файлов и папок, а всего раздела. Более того, для надежной защиты необходимо шифрование всего диска. "На поверхности" не должно оставаться ничего. В этой статье будет дана инструкция как создать шифрованный системный раздел и диск в ОС Linux Fedora. Шифрованная файловая система в Linux поддерживается на уровне ядра операционной системы. То есть не нужно искать какие-то навороченные криптографические программы и более того, использование шифрованных разделов Linux происходит прозрачно - пользователю ничего не нужно знать о шифровании и ничего не нужно делать для шифрования своих файлов и папок. Для того, чтобы создать надежную шифрованную систему под Linux нужно понимать какие части этой системы нужно защищать. Их четыре:
Защищать нужно все эти области. В статье будет рассмотрена упрощенная конфигурация - swap и /boot на отдельных разделах, а root и /home совмещены на одном разделе. Но для более сложных случаев технология защиты будет такая же. С шифрованием областей root, swap и /home никаких трудностей нет, а вот с защитой /boot есть проблема. Дело в том, что из этой области системный загрузчик запускает initrd и ядро Linux. Если эту область зашифровать, тогда загрузчик не сможет запустить ядро и соответственно запуск ОС будет невозможен. То есть зашифровать /boot нельзя, но и оставлять открытой тоже нельзя, ведь в этом случае будет возможна подмена ядра, на другое, содержащее зловредный код, который перехватит пароль для расшифровки диска. Выход в том, чтобы разместить раздел /boot на съемном носителе, на флешке. Флешка будет своего рода электронным ключом к системе. Без нее запуск ОС с зашифрованного диска будет невозможен. То есть защита раздела /boot осуществляется на физическом уровне - извлечением его из компьютера. Таким образом общая схема защиты такова:
Установка шифрованной Федоры будет выполняться с использованием Fedora 16 Live. "Живой" релиз, в отличии от Ubuntu Live (статья Шифрование Ubuntu), не только содержит пакет lvm2, но и сам установщик имеет опцию создания шифрованного диска и установки на этот зашифрованный диск. Так что все делается легко и быстро. Fedora Linux - установка на шифрованный дискВтыкаете флешку, на которую будет установлен раздел /boot. И затем запускаете установщик в котором шаг за шагом указываете параметры установки. На шаге № 6 нужно указать вот такие параметры:
Если вы уверенно владеете Linux, тогда на этом шаге можете указать параметр "Create custom layout". Это даст вам возможность ручную разделить диск на нужное вам количество разделов. На следующем шаге нужно перместить в правую панель диск на который будет установлена Федора, а также флешку на которую будет установлен раздел /boot. Причем для флешки нужно поставить отметку "Boot Loader":
После этого установщик выдаст информацию о том, как будут размечены диски и сформированы шифрованные тома:
Из информации на этом скриншоте видно, что жесткий диск sda будет зашифрован полностью - будет создан криптоконтейнер sda1, в котором будут созданы разделы root, swap и home. А раздел boot будет размещен на флешке sdc. Жмете кнопку "Далее" и на последующих шагах указываете оставшиеся параметры установки, в том числе и ключевую фразу для доступа к зашифрованному диску. Важное примечание. Эта фраза должна быть длинной и не должна содержать часто повторяющихся знаков. В идеале это должен быть произвольный набор букв и цифр. Эту фразу лучше придумать заранее, еще до начала работы по созданию системы. Фразу вводите на английском языке! После завершения установки перезагружаете компьютер, затем в BIOS в качестве устройства загрузки указываете флешку. После загрузки ядра с флешки вам будет выдан запрос на ключевую фразу - вводите эту фразу и после этого загружается Федора. Все. Fedora или UbuntuПри том, что установка Fedora на зашифрованный диск проще, в сравнении с аналогичной установкой Ubuntu (статья Шифрование Ubuntu), тем не менее это не делает Fedora более привлекательным вариантом. Есть более существенные моменты в которых Ubuntu имеет преимущества перед Fedora. В первую очередь это более длительный цикл поддержки релизов. Релизы Fedora поддерживаются только в течении одного года. В том время как релизы Ubuntu LTS поддерживаются в течении трех лет. В частности поддержка Fedora 16 будет завершена осенью 2012 года, а Ubuntu 10.04, которая вышла на полтора года раньше Федоры, будет поддерживаться до весны 2013 года. Более того, начиная с версии 12.04 которая выйдет в апреле этого года, LTS релизы Ubuntu будут поддерживаться в течении 5 лет! То есть обновления для версии Ubuntu 12.04 будут выпускаться до 2017 года! ПримечаниеВажно понимать, что даже при таком тотальном шифровании сохраняются уязвимости.
Также необходимо понимать, что шифрование это защита на то время когда ваш компьютер выключен, а вас рядом нет. Но когда вы работаете на компьютере сохраняется возможность попадания на ваш компьютер вредоносных программ из Интернет. Такие программы могут "украсть" вашу информацию в то время как вы пользуетесь компьютером и Интернет. Поэтому важно принимать и общие меры защиты. Не "шарахаться" где попало в Интернет. Не устанавливать непроверенные программы. Использовать брандмауэр. А при более серьезных требованиях к безопасности нужно другие средства, например tcb, SELinux, iptables. Копия загрузочной флешкиСделайте копию загрузочной флешки, проще всего командой dd. Запишите этот образ на другую флешку или на лазерный диск. Копия на другую флешку удобнее поскольку при необходимости вы сразу ее сможете использовать. Но в любом случае эту копию, на чем бы она ни была, нужно будет хранить в защищенном месте. А после обновления ядра или загрузчика необходимо будет обновлять копию флешки. P.S. Если вы живете в г. Краснодар, для вас есть простой способ установить Fedora Linux на шифрованный системный раздел - позвоните по телефону, который указан ниже и договоритесь со специалистом. Подробнее... Иван Сухов, 2012 г.
Поделитесь этим сайтом с друзьями!
Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Yoomoney № 410011416229354. Или на телефон +7(928)274-0281. Даже небольшая сумма может помочь написанию новых статей :) Или поделитесь ссылкой на эту статью со своими друзьями. Сопутствующие статьи |
Copyright digital.workshop 1999 - 2021.
Это произведение доступно по лицензии Creative Commons Attribution-NoDerivs 3.0. |
Developed by digital.workshop |