„Btrfs“ failų sistemos lygio šifravimo funkcija vis dar nepasiekiama. Bet jūs galite naudoti trečiosios šalies šifravimo įrankį, pvz dm-kriptos užšifruoti visus „Btrfs“ failų sistemos saugojimo įrenginius.
Šiame straipsnyje aš jums parodysiu, kaip užšifruoti saugojimo įrenginius, pridėtus prie Btrfs failų sistemos, naudojant dm-crypt. Taigi, pradėkime.
Santrumpos
- LUKS - „Linux Unified Key“ sąranka
- HDD - Kietasis diskas
- SSD - Kietojo kūno diskas
Būtinos sąlygos
Norėdami sekti šį straipsnį:
- Turite paleisti „Fedora 33 Workstation“ arba „Ubuntu 20“.04 „LTS Linux“ platinimas jūsų kompiuteryje.
- Savo kompiuteryje turite turėti nemokamą HDD / SSD.
Kaip matote, turiu HDD SDB mano „Ubuntu 20“.04 LTS mašina. Užšifruosiu ir suformatuosiu „Btrfs“ failų sistema.
$ sudo lsblk -e7
Reikiamų paketų diegimas „Ubuntu 20“.04 LTS
Norėdami užšifruoti saugojimo įrenginius ir juos formatuoti naudodami „Btrfs“ failų sistemą, turite turėti btrfs-progs ir kriptografija paketus, įdiegtus jūsų „Ubuntu 20“.04 LTS aparatas. Laimei, šiuos paketus galima rasti oficialioje „Ubuntu 20“ paketų saugykloje.04 LTS.
Pirmiausia atnaujinkite APT paketų saugyklos talpyklą naudodami šią komandą:
$ sudo apt atnaujinimas
Instaliuoti btrfs-progs ir kriptografija, paleiskite šią komandą:
Norėdami patvirtinti diegimą, paspauskite Y tada paspauskite <Įveskite>.
The btrfs-progs ir kriptografija paketai ir jų priklausomybės yra diegiami.
The btrfs-progs ir kriptografija paketai turėtų būti įdiegti šioje vietoje.
Reikiamų paketų diegimas „Fedora 33“
Norėdami užšifruoti saugojimo įrenginius ir juos formatuoti naudodami „Btrfs“ failų sistemą, turite turėti btrfs-progs ir kriptografija paketus, įdiegtus jūsų „Fedora 33“ darbo vietos kompiuteryje. Laimei, šiuos paketus galima rasti oficialioje „Fedora 33 Workstation“ paketų saugykloje.
Pirmiausia atnaujinkite DNF paketo saugyklos talpyklą naudodami šią komandą:
$ sudo dnf makecache
Instaliuoti btrfs-progs ir kriptografija, paleiskite šią komandą:
„Fedora 33 Workstation“ pagal numatytuosius nustatymus naudoja „Btrfs“ failų sistemą. Taigi labiau tikėtina, kad šie paketai jau bus įdiegti, kaip matote toliau pateiktoje ekrano kopijoje. Jei dėl kokių nors priežasčių jie nebus įdiegti, jie bus įdiegti.
Šifravimo rakto generavimas
Prieš užšifruodami saugojimo įrenginius naudodami kriptografija, turite sugeneruoti 64 baitų ilgio atsitiktinį raktą.
Galite sugeneruoti šifravimo raktą ir išsaugoti jį / etc / cryptkey failą su šia komanda:
$ sudo dd, jei = / dev / urandom = / etc / cryptkey bs = 64 skaičius = 1
Turėtų būti sukurtas ir saugomas naujas šifravimo raktas / etc / cryptkey failą.
Šifravimo rakto failas / etc / cryptkey pagal nutylėjimą gali perskaityti visi, kaip matote toliau pateiktoje ekrano kopijoje. Tai rizika saugumui. Mes norime tik šaknis vartotojas galėtų skaityti / rašyti / etc / cryptkey failas.
Norėdami leisti tik pagrindiniam vartotojui skaityti / rašyti / etc / cryptkey failas, pakeiskite failo teises taip:
Kaip matote, tik šaknis vartotojas turi skaitymo / rašymo (rw) leidimą / etc / cryptkey failą. Taigi, niekas kitas nemato, kas yra / etc / cryptkey failą.
Saugojimo įrenginių šifravimas naudojant „dm-crypt“
Dabar, kai sugeneravote šifravimo raktą, galite užšifruoti savo atminties įrenginį. tarkim, SDB, naudojant „LUKS v2“ (2 versija) disko šifravimo technologiją taip:
$ sudo cryptsetup -v - type luks2 luksFormat / dev / sdb / etc / cryptkey
kriptografija paragins patvirtinti šifravimo operaciją.
PASTABA: Visi HDD / SSD duomenys turėtų būti pašalinti. Taigi, prieš bandydami šifruoti savo HDD / SSD, būtinai perkelkite visus svarbius duomenis.
Norėdami patvirtinti disko šifravimo operaciją, įveskite TAIP (didžiosiomis raidėmis) ir paspauskite
Šiuo metu saugojimo įrenginys / dev / sdb turėtų būti užšifruotas šifravimo raktu / etc / cryptkey.
Šifruotų saugojimo įrenginių atidarymas
Užšifravę atminties įrenginį naudodami kriptografija, jums reikia atidaryti jį su kriptografija įrankis, kad būtų galima juo naudotis.
Galite atidaryti užšifruotą atminties įrenginį SDB ir susieti jį su savo kompiuteriu kaip duomenis taip:
$ sudo cryptsetup open --key-file = / etc / cryptkey - type luks2 / dev / sdb data
Dabar kelyje bus galima iššifruoti saugojimo įrenginį / dev / mapper / data. Jūs turite sukurti norimą failų sistemą / dev / mapper / duomenų įrenginys ir pritvirtinkite / dev / mapper / duomenų įrenginys vietoj / dev / sdb nuo dabar.
„Btrfs“ failų sistemos kūrimas šifruotuose įrenginiuose:
Norėdami iššifruotame saugojimo įrenginyje sukurti „Btrfs“ failų sistemą / dev / mapper / data su etiketės duomenimis vykdykite šią komandą:
$ sudo mkfs.btrfs -L duomenys / dev / mapper / duomenys
Btrfs failų sistema turėtų būti sukurta / dev / mapper / duomenų saugojimo įrenginys, kuris iššifruojamas iš saugojimo įrenginio / dev / sdb (užšifruota naudojant LUKS 2).
Šifruoto „Btrfs“ failų sistemos prijungimas
Taip pat galite prijungti anksčiau sukurtą „Btrfs“ failų sistemą.
Tarkime, norite prijungti anksčiau sukurtą „Btrfs“ failų sistemą / duomenys kataloge.
Taigi, sukurkite / duomenys katalogą taip:
$ sudo mkdir -v / data
Norėdami prijungti Btrfs failų sistemą, sukurtą / dev / mapper / duomenų saugojimo įrenginys viduje konors / duomenys kataloge, vykdykite šią komandą:
Kaip matote, „Btrfs“ failų sistema sukurta šifruotame saugojimo įrenginyje SDB montuojamas į / duomenys kataloge.
Šifruotą „Btrfs“ failų sistemą automatiškai prijungti įkrovos metu
Šifruotą „Btrfs“ failų sistemą galite prijungti ir paleidimo metu.
Norėdami įjungti užšifruotą „Btrfs“ failų sistemą įkrovos metu, turite:
- iššifruoti saugojimo įrenginį / dev / sdb įkrovos metu naudojant / etc / cryptkey šifravimo rakto failas
- įdėkite iššifruotą saugojimo įrenginį / dev / mapper / data į / duomenys kataloge
Pirmiausia suraskite UUID SDB užšifruotas saugojimo įrenginys su šia komanda:
$ sudo blkid / dev / sdb
Kaip matote, UUID SDB šifruotas saugojimo įrenginys yra 1c66b0de-b2a3-4d28-81c5-81950434f972. Jums bus kitaip. Taigi, nuo šiol būtinai pakeiskite jį savo.
Norėdami automatiškai iššifruoti SDB saugojimo įrenginį įkrovos metu, turite pridėti jo įrašą / etc / crypttab failą.
Atidaryk / etc / crypttab failą su nano teksto redaktorius taip:
$ sudo nano / etc / crypttab
Pabaigoje pridėkite šią eilutę / etc / crypttab failą, jei naudojate HDD.
Pabaigoje pridėkite šią eilutę / etc / crypttab failą, jei naudojate SSD.
duomenys UUID = 1c66b0de-b2a3-4d28-81c5-81950434f972 / etc / cryptkey luks, noearly, sunaikintiBaigę paspauskite <„Ctrl“> + X, paskui Y, ir <Įveskite> išsaugoti / etc / crypttab failą.
Dabar raskite iššifruotą UUID / dev / mapper / data saugojimo įrenginys su tokia komanda:
Kaip matote, UUID / dev / mapper / data iššifruotas saugojimo įrenginys yra dafd9d61-bdc9-446a-8b0c-aa209bfab98d. Jums bus kitaip. Taigi, nuo šiol būtinai pakeiskite jį savo.
Norėdami automatiškai prijungti iššifruotą saugojimo įrenginį / dev / mapper / data kataloge / data įkrovos metu, turite pridėti jo įrašą / etc / fstab failą.
Atidaryk / etc / fstab failas su nano teksto redaktorius taip:
$ sudo nano / etc / fstab
Dabar pridėkite šią eilutę pabaigoje / etc / fstab failas:
Baigę paspauskite <„Ctrl“> + X, paskui Y, ir <Įveskite> išsaugoti / etc / fstab failą.
Galiausiai perkraukite kompiuterį, kad pakeitimai įsigaliotų.
Šifruotas saugojimo įrenginys SDB yra iššifruotas į a duomenis saugojimo įrenginį ir duomenis saugojimo įrenginys sumontuotas / duomenys kataloge.
Kaip matote, „Btrfs“ failų sistema, sukurta iššifruotame faile / dev / mapper / data saugojimo įrenginys sumontuotas / duomenys kataloge.
Išvada
Šiame straipsnyje aš parodžiau, kaip užšifruoti saugojimo įrenginį naudojant „LUKS 2“ šifravimo technologiją su „cryptsetup“. Taip pat sužinosite, kaip iššifruoti užšifruotą atminties įrenginį ir suformatuoti jį naudojant „Btrfs“ failų sistemą. Taip pat kaip automatiškai iššifruoti užšifruotą saugojimo įrenginį ir prijungti jį įkrovos metu. Šis straipsnis turėtų padėti jums pradėti naudoti „Btrfs“ failų sistemos šifravimą.