Prin urmare, în ciuda opțiunii din programul de instalare, trebuie să faceți manual instalarea.
Dar pentru a începe o mică teorie.
De ce aveți nevoie de criptarea datelor pe disc
Aceasta este singura modalitate de a proteja informațiile, în condițiile în care este posibil să acceseze fizic străini pe computer. Parola pentru rularea oricărui sistem de operare - Windows, Linux sau Mac OS, poate salva numai copiii. Orice specialist va ocoli protecția prin parolă pentru câteva minute - timpul necesar pentru a lipi o unitate flash USB în computer și a încărca sistemul de operare din acesta.
Dar datele criptate sunt deja mult mai greu de deschis. Sau chiar imposibil fără o cheie digitală sau o frază de acces. Desigur, există algoritmi diferiți pentru criptare, iar în cadrul acestor algoritmi există parametri diferiți - toate acestea afectează rezistența la efracție. Dacă utilizați algoritmi instabili sau parametri vulnerabili, puteți accesa fișierele și folderele criptate. Dar, în general, putem presupune că criptarea este o protecție fiabilă a datelor.
Cea mai obișnuită metodă de a proteja datele este criptarea fișierelor. Un director criptat este creat pe disc, fișierele sunt scrise în el. Teoretic, acest lucru este fiabil dacă se utilizează algoritmul AES și cheile de lungime lungă. Dar există o vulnerabilitate evidentă a datelor cu această metodă de criptare. Faptul este că sistemul de operare rămâne neprotejat. Aceasta oferă un atacator o oportunitate de a stabili într-un program special (un keylogger, rootkit), care va fi lansat la începutul activității utilizatorului OS și urmări și, prin urmare, mai devreme sau mai târziu, atacatorul va primi un fișier parola sau o cheie pentru a accesa fișierele și folderele criptate. Ori va fi capabil să recupereze datele după ce utilizatorul deschide fișierul criptat.
Deci, o protecție foarte puternică a datelor pe disc este criptarea unor fișiere și foldere individuale, dar întregul sistem de operare. Pentru protecție fiabilă, trebuie să criptați întregul disc. "La suprafață" nu ar mai trebui să rămână nimic. Acest articol va oferi instrucțiuni despre crearea unei partiții de sistem criptate și a unui disc în Linux OS Ubuntu 14.04.
Encrypting File System pe Linux este menținut la nucleul sistemului de operare. Acest lucru nu este de a căuta orice software criptografic și îngrămădite mai mult, utilizarea de partiții Linux criptate este transparentă - utilizatorul nu are nevoie să știe nimic despre criptare și nu trebuie să facă nimic pentru a cripta fișiere și foldere.
Pentru a crea un sistem cript de încredere în Linux, trebuie să înțelegeți ce părți din acest sistem trebuie să le protejați. Există patru dintre ele:
- Zona sistemului este notată ca rădăcină sau /.
- Zona bootabilă este desemnată ca / boot. Poate fi localizat pe o partiție separată sau pe partiția rădăcină ca un folder.
- Zona de date a utilizatorului este desemnată ca / home. Poate fi localizat pe o partiție separată sau pe partiția rădăcină ca un folder.
- Zona de memorie virtuală este notată ca swap. Acesta este cel mai adesea localizat pe o partiție separată, dar poate fi localizat pe partiția rădăcină ca fișier.
Apărați toate aceste zone.
Articolul va lua în considerare o configurație simplificată - / boot pe o partiție și un disc separate, iar swap, root și / home sunt combinate pe o singură partiție a unui disc. Dar, pentru cazurile mai complexe de partiționare, tehnologia de protecție va fi aceeași.
Cu criptarea zonelor rădăcină, swap și acasă, nu există dificultăți, dar există o problemă cu protecția / boot-ul. Problema este că din această zonă încărcătorul de sistem pornește initrd-ul și kernel-ul Linux. Dacă această zonă este criptată, încărcătorul nu va putea să pornească nucleul și, prin urmare, lansarea sistemului de operare va fi imposibilă. Adică, dar nu poate lăsa deschis, de asemenea, cripta / nu boot-eze nu poate fi, pentru că în acest caz, va fi posibil să se substituie miezului, pe de altă parte, conține cod malițios care va intercepta parola pentru a decripta discul ..
Soluția este de a plasa partiția / boot pe un suport amovibil, pe o unitate flash. Unitatea flash USB va fi un fel de cheie electronică a sistemului. Fără aceasta, nu va fi posibilă pornirea sistemului de operare de pe un disc criptat. Adică, partiția / boot este protejată la nivel fizic prin extragerea acesteia de pe computer.
Astfel, schema generală de protecție este următoarea:
- Secțiunile root, swap și / home sunt situate pe un hard disk complet criptat.
- Partiția / boot este localizată pe suporturi amovibile.
Instalarea Ubuntu criptată va fi efectuată utilizând Ubuntu Live. De ce trăiești? La urma urmei, distribuția alternativă vă permite să faceți același lucru fără să dansați cu un tamburin, există o opțiune de criptare în programul de instalare. Personal, nu îmi place faptul că Alternate este o distrugere exclusivă a instalației, nu mai poate fi folosită - nici pentru diagnostic, nici pentru muncă. În plus, instalatorul alternativ lucrează în consola și este într-un fel arhaic în secolul 21. Deci asta e Live.
Pasul unu
Trebuie să porniți de pe un disc sau unitatea flash USB Ubuntu Desktop 14.04 Live. În consecință, un hard disk trebuie să fie conectat la calculator pentru instalare. Și, de asemenea, trebuie să pregătească o unitate flash cu o capacitate de 100 MB și mai mare.
Pasul doi, pregătiți unitatea hard disk și unitatea flash
Pe hard disk, trebuie să creați unul gol, eliminat de sistemul de fișiere. Formatul discului poate fi MS-DOS sau GPT - nu contează. Această secțiune va funcționa ca un container cripto.
Unitatea flash trebuie, de asemenea, să creeze o partiție, dar cu sistemul de fișiere Ext2.
Pasul al treilea, criptați unitatea de sistem
Criptarea întregii partiții de pe hard disk se realizează prin comanda:
sudo cryptsetup --cipher aes-XTS-neteda --key-size 512 --verify-passphrase luksFormat / dev / sda1
Această comandă va emite o solicitare și pentru a confirma că trebuie să introduceți cuvântul DA, în acest fel, cu majuscule. Această solicitare se face pentru a vă asigura că aveți limba engleză pe tastatură! După aceea, va trebui să introduceți fraza cheie de două ori. Această expresie ar trebui să fie lungă și nu ar trebui să conțină caractere care se repetă frecvent. În mod ideal, ar trebui să fie un set arbitrar de litere și numere. Această frază este mai bine să se gândească în avans, chiar înainte de lucrarea de creare a sistemului.
Când introduceți o expresie de acces, în terminal nu vor fi afișate caractere, deci trebuie să imprimați cu atenție. Dar fraza va fi solicitată de două ori, deci dacă faceți o greșeală, programul o va raporta.
După crearea cu succes a containerului crypto, trebuie să conectați acest disc criptat pentru o muncă ulterioară:
sudo criptsetup deschis / dev / sda1 criptat
Această comandă vă va solicita o expresie cheie care a fost introdusă în comanda anterioară.
Pasul patru, creați partiții criptate
Următorul pas este crearea de partiții criptate în interiorul containerului criptografic LUKS. Mecanismul LVM este folosit pentru a crea aceste partiții.
sudo pvcreate / dev / mapper / criptat
sudo vgcreați ubuntu / dev / mapper / criptat
sudo lvcreate -L 2600M -n swap ubuntu
sudo lvcreate -l 100% GRATUIT -n root ubuntu
sudo mkswap / dev / mapper / ubuntu-swap
sudo mkfs.ext4 / dev / mapper / ubuntu-rădăcină
Dimensiunea partiției swap trebuie să fie cu aproximativ 20-30% mai mare decât dimensiunea memoriei RAM. Partiția rădăcină este de cel puțin 5-7 gigaocteți.
Ca rezultat, terminalul ar trebui să arate astfel:
Pasul cinci, instalarea Ubuntu pe discul criptat
După crearea partițiilor criptate, trebuie să rulați programul de instalare, a cărui scurtătură se află pe desktop. Instalarea este normală, este important numai înainte ca instalatorul să deconecteze unitatea flash USB de unde va fi scris / boot și să precizeze corect partițiile pentru instalare.
Apoi trebuie să selectați partiționarea manuală a discului:
Apoi, iată cum să montați partițiile și să specificați unitatea de instalare a încărcătorului GRUB:
Dacă nu introduceți o casetă de selectare "Font" pentru partiția rădăcină, atunci vi se va solicita:
Puteți să o ignorați făcând clic pe butonul "Următorul".
După aceasta, trebuie să parcurgeți expertul de instalare până la terminarea instalării. Când instalarea este finalizată, programul de instalare vă va solicita să reporniți computerul.
Nu puteți reporni! Trebuie să rămâneți în Live Ubuntu pentru a finaliza configurația de încărcare.
Cu toate acestea, acest lucru este necritic. Chiar dacă reîncărcați în mod greșit, veți putea să încărcați din nou Ubuntu Live.
Etapa a șase, conectând containerul criptografic
Notă. Acest pas este sărit peste reboot după ce instalarea a fost finalizată!
Mai întâi trebuie să executați următoarele comenzi:
sudo swapoff -a
sudo dmsetup remove_all
Aceste două comenzi demontează containerul criptat. Acest lucru este necesar pentru a conecta în continuare containerul Crypto cu setările implicite. Acest lucru se poate face în două moduri:
Prima cale, prin interfața grafică
Faceți clic pe butonul disc din bara de instrumente Lansare rapidă:
Apoi, vi se va solicita expresia de acces:
Metoda doi, prin terminal:
Este necesar să executați comanda:
echo "Luks - $ (ls -la / dev / disk / by-uuid | grep $ (basename / dev / sda1) | tăiat -d '' -f 11)"
Ieșirea va arăta astfel: luks-b224aaf0-774a-4548-a256-b11c5a657902
Notă. Dacă ieșirea comenzii nu conține un astfel de șir, încercați un alt parametru-f. 10, 12 și examinați rezultatul. De la versiune la versiune, formatul comenzii ls -la se modifică. Ieșirea din UUID a discului nu poate fi de 11 poziții. De exemplu, în versiunea 14.04.3 este în poziția 10! Puteți executa pur și simplu comanda ls -la / dev / disk / by-uuid și uita-te la toate discurile și toate UUID-urile. Și apoi compilați manual șirul luks-UUID.
Trebuie să copiați această linie și să o lipiți în următoarea comandă:
sudo criptsetup deschis / dev / sda1 luks-b224aaf0-774a-4548-a256-b11c5a657902
De ce toate astea? Problema este că spre deosebire de versiunile anterioare, Ubuntu 14.04 nu ia numele criptocontainerului conectat din fișierul / etc / crypttab. Se generează automat de la luks - și prefixul UUID al locației în care este localizat sistemul de criptare. Adică, nu puteți scrie un nume de tip criptat în / etc / crypttab ca în versiunile anterioare. Aveți nevoie de acest nume pentru a se potrivi cu numele implicit. De fapt, în setările dm-crypt, puteți specifica utilizarea unui nume personalizat al containerului cripto. Dar este mai bine sa faceti ca totul sa functioneze din cutie.
Pentru a verifica, puteți rula următoarea comandă:
sudo status criptsetup / dev / mapper / luks-b224aaf0-774a-4548-a256-b11c5a657902
Pentru a vă asigura că totul este în regulă.
Pasul 7, configurați boot-ul de pe discul criptat.
Trebuie să executați aceste comenzi:
- sudo mount / dev / mapper / ubuntu-root / mnt
- mount sudo / dev / sdb1 / mnt / boot
- sudo mount -o legare / dev / mnt / dev
- sudo mount - proc proc / mnt / proc
- sudo mount -t sysfs sys / mnt / sys
Verificați dacă discul corect este montat în / mnt / boot! Ar trebui să fie o unitate flash USB cu partiția de boot.
Apoi următoarele comenzi:
- sudo chroot / mnt / bin / bash
- echo „Luks - $ (ls -la / dev / disk / by-uuid | grep $ (basename / dev / sda1) | tăiat -d '' -f 11) UUID = $ (ls -la / dev / disk / de -uuid | grep $ (nume / dev / sda1) | cut -d '' -f 11) nici unul, nu aruncați "> / etc / crypttab
- update-initramfs -u
- update-grub
- ieșire
Notă. După a doua comandă, este mai bine să efectuați o pisă de test / etc / crypttab pentru a vedea șirul care este scris în crypttab. Ar trebui să fie așa "UUID Luks-0eac1061-1dca-4a66-8497-7f3dda2b843a =-0eac1061-1dca 4a66-8497-7f3dda2b843a none Luks, aruncați":
Acum puteți utiliza Ubuntu criptat instalat. Desigur, în BIOS este necesar să specificați boot-a de pe unitatea flash unde este instalată partiția / boot!
Nota 1
Este important să înțelegem că, chiar și cu criptarea totală, vulnerabilitățile rămân.
- În primul rând, trebuie să păstrați fraza cheie secretă. Dacă îl scrieți pe un autocolant și îl lipiți pe un monitor, nu este bine. Dacă un atacator primește o expresie cheie, el poate deschide discul criptat utilizând orice distribuție Live Linux.
- În al doilea rând, trebuie să protejați unitatea de pornire la nivel fizic. Nu lăsați-o nesupravegheată. Opriți calculatorul - scoateți unitatea flash USB și puneți-l într-un loc sigur. Dacă unitatea flash bootabilă este disponibilă gratuit, un atacator poate seta codul să intercepteze parola.
- În al treilea rând, nu trebuie să lăsați computerul pornit nesupravegheat. Când computerul este pornit, sunt disponibile atât un disc criptat, cât și o unitate flash bootabilă.
De asemenea, trebuie să înțelegeți că criptarea este protecție în momentul în care computerul este oprit și nu sunteți în preajmă. Dar când lucrați la un computer, există posibilitatea ca programele rău intenționate să fie trimise de pe Internet pe computer. Astfel de programe vă pot "fura" informațiile în timp ce utilizați un computer și Internetul.
Prin urmare, este important să se ia alte măsuri de protecție. Nu "feriți" oriunde pe Internet. Nu instalați programe neînregistrate. Utilizați un paravan de protecție. Și cu cerințe de securitate mai serioase, trebuie să utilizați alte instrumente, cum ar fi tcb, SELinux. iptables.
Nota 2
Faceți o copie a unității flash bootabile, cel mai simplu mod este să utilizați comanda dd. Înregistrați această imagine pe o altă unitate flash USB sau disc laser. O copie a unei alte unități flash USB este mai convenabilă, deoarece dacă aveți nevoie de ea, puteți să o utilizați imediat. Dar, în orice caz, această copie, indiferent de ce este, va trebui să fie stocată într-un loc sigur. Și după actualizarea kernel-ului sau a bootloader-ului, va trebui să actualizați copia unității flash.
Distribuiți acest site prietenilor dvs.!
Chiar și o sumă mică vă poate ajuta să scrieți articole noi :)
Sau partajați un link spre acest articol cu prietenii dvs.
Articole similare
Trimiteți-le prietenilor: