Шифрование данных

loop-aes под ubuntu 10.04
http://mydebianblog.blogspot.com/2012/05/linux-loop-device-aes.html
установливаем loop-aes-utils

 apt-get install loop-aes-utils
Загружаем модуль cryptoloop
modprobe cryptoloop

для загрузки этого модуля в память при старте системы в /etc/modules добавить строку cryptoloop
заполняем раздел нолями
dd if=/dev/zero of=/dev/sda9 bs=512 conv=notrunc

привязываем раздел к петлевому устр-ву:
losetup -e aes256 /dev/loop0 /dev/sda9

и вводим пароль не менее 20 символов.
После этого создаем ФС на /dev/loop0:
mkfs.ext2 /dev/loop0

далее монтируем:
 mount /dev/loop0 /mnt/mydir

отмонтируем:
umount /dev/loop0

отвязываем раздел от петлевого устр-ва
losetup -d /dev/loop0

Для монтирования при загрузке системы прописываем в /etc/fstab
/dev/sda9 /mnt/mydir ext2 defaults,loop=/dev/loop0,encryption=AES256  0  0
При загрузке спросит пароль, ( у меня почему-то не спрашивало и зависало, пришлось вставить в fstab noauto и монтировать  mount /mnt/mydir c вводом пароля)
См man mount, man losetup
Для шифрования swap раздела заполняем его случайными данными, предварительно отключив
swapoff /dev/sda5
dd if=/dev/urandom of=/dev/sda5 bs=1M conv=notrunc

Затем создаем свап раздел снова
mkswap /etc/sda5
и меняем запись в /etc/fstab
/dev/sda5 none swap sw,loop=/dev/loop1,encryption=AES128 0 0

После этого активируем swap
swapon -a
и проверяем
losetup -a

должно выдать что-то наподобие
/dev/loop1: [0005]:5348 (/dev/sda5) offset=4096 encryption=CryptoAPI/aes-cbc
После перезагрузки swap должен смонтироваться с шифрованием.
Но у меня монтируется почему-то незашифрованый.
А если дать команду
swapoff /dev/sda5
swapon -a

то нешифрованный swap отключается и подключается снова согласно записям в /etc/fstab как и написано в
man swapon:
...If  loop=/dev/loop?  and encryption=AES128 options are present in /etc/fstab then swapon -a will set up loop devices using random keys, run mkswap on them, and enable encrypted swap on specified loop devices. Encrypted loop devices are set up with page size offset  so  that  unencrypted  swap signatures on first page of swap devices are not touched.  swapoff -a will tear down such loop devices...
Почему так происходит, мне пока не ясно, продолжаю разбираться.

Полезные ссылки:
http://xakep.ru/post/54794/
http://www.xakep.ru/magazine/xa/129/086/1.asp
http://execbit.ru/2011/05/07/loop-aes/
http://www.nixp.ru/articles/Шифрование-диска-в-Linux-средствами-loop-AES.html
https://libc6.org/page/perenos-home-na-zashifrovannyj-razdel
http://mydebianblog.blogspot.com/2012/05/linux-loop-device-aes.html
http://pgp.ua/articles/3-articles/37-shifrovanie-diska-v-linux-sredstvam...
http://www.vyukov.ru/2013/01/shifrovanie-debian-gnu-linux.html
http://habrahabr.ru/post/53720/
https://wiki.debian.org/ru/Crypt#A.2BBCgEOAREBEAEPgQyBDAEPQQ4BDU_.2BBD8E...
http://www.debian.org/releases/stable/i386/ch06s03.html.ru
http://odkq.com/debianloopaes
http://www.xakep.ru/post/56238/ - BSD системы

Geli во FreeBSD

Последовательность:

Загрузить модуль

kldload geom_eli.ko
или для авто загрузки при запуске
echo 'geom_eli_load="YES"' >> /boot/loader.conf

Создаем ключ
dd if=/dev/random of=~/geli/ad4s2d.key bs=64 count=1

Инициализируем ( раздел должен быть отмонтирован )
geli init -s 4096 -K ~/geli/ad4s2d.key /dev/ad4s2d
Выдается сообщение:
Metadata backup can be found in /var/backups/ad4s2d.eli and
can be restored with the following command:
# geli restore /var/backups/ad4s2d.eli /dev/ad4s2d

Подключаем, создается устройство /dev/ad2s2d.eli,(потребует парольную фразу) которое заполняем случайными данными

geli attach -k ~/geli/ad4s2d.key /dev/ad4s2d
dd if=/dev/random of=/dev/ad4s2d.eli bs=64k

создаем ФС и монтируем
newfs /dev/ad4s2d.eli
mount /dev/ad4s2d.eli /cryptodir

Отмонтируем и отключаем
umount /dev/ad4s2d.eli
detach /dev/ad4s2d.eli

Чтобы работало после (пере)загрузки, добавить в  /etc/rc.conf :

geli_devices="ad4s2d ad1s1d"
geli_ad4s2d_flags="-k ~/geli/ad4s2d.key"
geli_ad1s1d_flags="-k ~/geli/ad1s1d.key"

а в /etc/fstab:
/dev/ad4s2d.eli         /cryptodir          ufs     rw                2       2
/dev/ad1s1d.eli         /dir2               ufs     rw                2       2

Тогда во время загрузки спросит пароль, потом смонтирует.

Создание дампа конфигурации geli:

geli backup /dev/ad4s2d /backup/geli.ad4s2d.backup
Если надо восстановить:
 geli restore /backup/geli.ad4s2d.backup /dev/ad4s2d

см. man geli, хэндбук
http://storm.in.ua/a59/GELI-sozdanie-zaschischennogo-i-byistrounichtojim...

Отправить комментарий

CAPTCHA
Чтобы убедиться в том что Вы не робот, ответьте, пожалуйста, на вопрос
Fill in the blank