Травыч
МируМир☮️
- Регистрация
- 01.06.2025
- Сообщения
- 9 151
- Реакции
- 20 449
- Баллы
- 113
Шифрование дисков в Linux
Шифрование диска Linux
Теория пройдена, все инструменты готовы. Теперь рассмотрим шифрование раздела Linux. Перейдем к настройке жесткого диска. Обратите внимание, что это удалит все данные из диска или раздела, который вы собираетесь зашифровать. Так что если там есть важные данные, лучше скопируйте их в более надежное место.1. Создание раздела
В этом примере мы будем шифровать раздел /dev/sda6, но вместо него вы можете использовать целый жесткий диск или просто один файл, заполненный нулями. Создаем шифрованный раздел:sudo cryptsetup -y -v luksFormat /dev/sdb1
Эта команда выполнит инициализацию раздела, установит ключ инициализации и пароль. Сначала надо подтвердить создание виртуального шифрованного диска набрав YES, затем нужно указать пароль. Указывайте такой пароль, чтобы его потом не забыть.
Выполните такую команду чтобы открыть только что созданный раздел с помощью модуля dm-crypt в /dev/mapper, для этого понадобится ввести пароль, с которым выполнялось шифрование luks linux:
sudo cryptsetup luksOpen /dev/sdb1 backup2
Теперь вы можете увидеть новое виртуальное устройство /dev/mapper/backup2 созданное с помощью команды luksFormat:
ls -l /dev/mapper/backup2
Чтобы посмотреть состояние устройства выполните:
sudo cryptsetup -v status backup2
А с помощью следующей команды вы можете сделать резервную копию заголовков LUKS на всякий случай:
cryptsetup luksDump /dev/sdb1
Ну, можно сказать, раздел готов. И что самое интересное, теперь вы можете им пользоваться так же, как и любым другим обычным разделом в каталоге /dev. Его можно форматировать с помощью стандартных утилит, записывать на него данные, изменять или проверять файловую систему и т д. Нельзя только изменить размер. То есть все полностью прозрачно, как и сказано в начале статьи.
2. Форматирование раздела
Давайте для начала отформатируем диск. Для надежности, чтобы стереть все данные, которые были в этом месте раньше, перезапишем наш шифрованный раздел linux нулями. Это уменьшит вероятность взлома шифрования, через увеличение количества случайной информации. Для этого выполните:dd if=/dev/zero of=/dev/mapper/backup2
Работа утилиты может занять несколько часов, чтобы иметь возможность наблюдать за процессом, используйте pv:
pv -tpreb /dev/zero | dd of=/dev/mapper/backup2 bs=128M
Когда процесс завершится мы можем отформатировать устройство в любую файловую систему. Например, отформатируем в ext4:
sudo mkfs.ext4 /dev/mapper/backup2
Как видите, все команды cryptsetup применяются к физическому разделу, в то время как остальные команды для работы с дисками - к нашему виртуальному.
3. Монтирование раздела
Теперь можно примонтировать только, что созданную файловую систему:mkdir /backup2
sudo mount /dev/mapper/backup2 /backup2
ls -l /backup2
4. Отключение раздела
Все работает, но как отключить устройство и защитить данные. Для этого выполните:sudo umount /backup2
sudo cryptsetup luksClose backup2
5. Повторное монтирование
Чтобы снова получить возможность работать с зашифрованным разделом с помощью LUKS linux необходимо опять его открыть:sudo cryptsetup luksOpen /dev/sdb1 backup2
Теперь можем монтировать:
sudo mount /dev/mapper/backup2 /backup2
6. Проверить файловую систему luks
Поскольку после открытия раздела с помощью luks linux, этот раздел воспринимается системой, как и все другие, вы можете просто использовать утилиту fsck:sudo umount /backup2
sudo fsck -vy /dev/mapper/backup2
sudo mount /dev/mapper/backup2 /backu2
7. Изменить парольную фразу luks
Шифрование дисков Linux выполняется с определенной парольной фразой, но вы можете ее изменить. Даже больше, вы можете создать до восьми разных парольных фраз. Для изменения выполнив следующие команды. Сначала сделаем резервную копию заголовков LUKS:sudo cryptsetup luksDump /dev/sdb1
Затем создадим новый ключ:
sudo cryptsetup luksAddKey /dev/sdb1
И удалим старый:
sudo cryptsetup luksRemoveKey /dev/sdb1
Сейчас вам придется ввести еще старый пароль.