Шифрование полного диска на Debian 9.4 или Ubuntu 18.04 LTS

В этом уроке вы увидите шаг за шагом, как зашифровать весь диск с помощью Cryptsetup на Debian 9.4 или Ubuntu 18.04 LTS (Bionic Beaver).

Зашифрованный диск не может быть частью тома LVM.

Наш кейс

1. Привод для шифрования не является частью LVM.

2. cryptsetup уже установлен

См. также Как установить Cryptsetup

3. Вы уже знаете устройство, которое вы хотите зашифровать (я буду использовать /dev/sdb1 в этом примере)

4. Вы уже сохранили все данные на диске, который хотите зашифровать, иначе вы потеряете все

5. Вам нужно знать, как использовать sudo или su —

См. также Как исправить уязвимость Cryptosetup

Примечания и предупреждения

Если у вас есть сомнения по шифрованию диска, сделайте это сначала на тестовой машине, а не на боевой.

Как зашифровать все данные

Создайте ключевой файл для аутентификации — вам нужно это, если вы намерены использовать авто монтирование при загрузке:

dd if=/dev/urandom of=/root/drive_key bs=1024 count=4

Защитите ключевой файл, который можно будет читать только от пользователя root:

chmod 0400 /root/drive_key

Инициализируйте файловую систему LUKS и используйте ключ-файл для аутентификации вместо пароля:

cryptsetup -d=/root/drive_key -v luksFormat /dev/sdb1

Создайте сопоставление LUKS с помощью ключевого файла:

cryptsetup -d=/root/drive_key luksOpen /dev/sdb1 data

Создайте свою файловую систему (я использую ext4):

mkfs.ext4 /dev/mapper/data

Создайте точку монтирования в системе (некоторые люди используют / media):

mkdir /mnt/data

Установите новую файловую систему в точке монтирования:

mount /dev/mapper/data /mnt/data

Создайте mapper для fstab добавив следующую строку в /etc/crypttab:

data /dev/sdb1 /root/drive_key luks

Добавьте точку монтирования в /etc/fstab:

/dev/mapper/data /mnt/data ext4 defaults 0 2

На этом этапе вам нужно только перезагрузить машину или использовать mount -a.

Я сам считаю, что гораздо проще просто перезагрузить систему.

Эта настройка очень подходит для Debian или Ubuntu.

Это означает, что если вы создадите зашифрованный диск, описанный выше в Debian (как я уже делал с 9.4), я смогу подключить тот же диск в Ubuntu 18.04, если я использую тот же самый процесс и файл ключа, описанный выше.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40