Все
h0rr0rr_drag0n — Шифрование раздела диска или если у вас паранойя, то это еще не значит, что за вами не следят.
В этой статье я расскажу о том как зашифровать раздел диска. Действия, описанные здесь, применимы в принципе к любой Linux-системе.
Внимание! Шифрование раздела подкачки происходит по другой схеме и сопряжено с некоторыми трудностями - не работает suspend to disk, поэтому выбирайте что вам дороже.
Для начала мы должны установить необходимые утилиты - fuse-utils, dmsetup, cryptsetup.
Теперь, если на зашифровываемом разделе содержатся какие-либо данные, то их необходимо сохранить на внешний носитель - продолжение операций по зашифровыванию гарантированно уничтожит все данные на разделе диска! После завершения всех нижеописанных операций можно снова записать эти данные на уже зашифрованный раздел, если это необходимо.
Создадим файловую систему на разделе:
Если нужно, чтобы раздел казался пустым нужно забить его случайными числами:
Теперь шифруем раздел:
Добавим в /etc/crypttab строку описывающую наш раздел:
myencpartition /dev/sdaN none luks,cipher=aes-cbc-essiv:sha256
где myencpartition это идентификатор закриптованного раздела, в дальнейшем по нему мы и будем обращаться к разделу.
Теперь перезапустим службу, обеспечивающую работу с шифрованными дисками:
/dev/mapper/myencpartition /mount_point ext3 defaults 0 0
Все после перезагрузки можно будет пользоваться нашим закриптованным разделом. При загрузке система попросит вас ввести ключевое слово для доступа к разделу; пока вы не введете пароль правильно - загрузка продолжена не будет:
Внимание! Шифрование раздела подкачки происходит по другой схеме и сопряжено с некоторыми трудностями - не работает suspend to disk, поэтому выбирайте что вам дороже.
Для начала мы должны установить необходимые утилиты - fuse-utils, dmsetup, cryptsetup.
Теперь, если на зашифровываемом разделе содержатся какие-либо данные, то их необходимо сохранить на внешний носитель - продолжение операций по зашифровыванию гарантированно уничтожит все данные на разделе диска! После завершения всех нижеописанных операций можно снова записать эти данные на уже зашифрованный раздел, если это необходимо.
Создадим файловую систему на разделе:
mkfs -t ext3 /dev/sdaN
, где вместо N нужно подставить нужное вам число.Если нужно, чтобы раздел казался пустым нужно забить его случайными числами:
dd if=/dev/urandom of=/dev/sdaN
. К сожалению, эта операция довольно длительна по времени =((.Теперь шифруем раздел:
cryptsetup -c aes-cbc-essiv:sha256 -s 256 luksFormat /dev/sdaN
. На этом этапе у вас спросят ключевое слово, при помощи которого вы будете в дальнейшем получать доступ к криптованному разделу. Если вы его забудете - придется повторить этот этап. Здесь мы используем LUKS - стандарт шифрования жесткого диска в Linux; строка-спецификация используемого метода шифрования - "aes-cbc-essiv:sha256", для ядер < 2.6.10 нужно использовать строку "aes-plain", соответственно использовать эту строку и везде далее по тексту; размер ключа 256 бит.Добавим в /etc/crypttab строку описывающую наш раздел:
myencpartition /dev/sdaN none luks,cipher=aes-cbc-essiv:sha256
где myencpartition это идентификатор закриптованного раздела, в дальнейшем по нему мы и будем обращаться к разделу.
Теперь перезапустим службу, обеспечивающую работу с шифрованными дисками:
/etc/init.d/cryptdisks restart
. Отформатируем наш зашифрованный раздел:
mkfs -t ext3 /dev/mapper/myencpartition
. Наконец добавим в fstab запись о закриптованном разделе:/dev/mapper/myencpartition /mount_point ext3 defaults 0 0
Все после перезагрузки можно будет пользоваться нашим закриптованным разделом. При загрузке система попросит вас ввести ключевое слово для доступа к разделу; пока вы не введете пароль правильно - загрузка продолжена не будет:
