Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
SzyfrowaniedyskuwLinuksie
Brakdostępu
Zaszyfrowanewoluminyjużdawnoprzestałybyćczymśwyjątkowym.Zasadykorporacyjne
iregułyzgodnościczęstowymagająszyfrowaniadanychokluczowymznaczeniu.Wnieniejszym
artykuleomawiamynarzędziadoszyfrowaniadyskówwsystemieLinux.MartinLoschwitz
Tonieprzypadek,żewciąguostatnich10lat
magającejdużejmocyobliczeniowej,takiejjakrendero-
laptopyzepchnęłykomputerystacjonarnena
drugiplan.Obecnieużytkownicypotrzebują
jedyniesystemówstacjonarnychdopracywy-
waniewideolubgry.Dowszystkiegoinnegowystarczą
nawetlaptopyześredniejpółki.Jednaklaptopymają
teżjednąwadę:znaczniełatwiejjeukraśćniżkomputer
stacjonarny.Odpowiedniapolisaubezpieczeniowamoże
amortyzowaćkosztywymianyurządzeniawprzypad-
kukradzieży,trudniejjednakzrekompensowaćutratę
danych.
Korporacjeiużytkownicymogąskuteczniechro-
nićsięprzedtegorodzajuczarnymscenariuszem
tylkopoprzezcałkowitezaszyfrowanienośnikówda-
nychwurządzeniu,odpamięciUSBpozewnętrz-
nedyskitwarde.WjakisposóbużytkownikLinuksa
możenajlepiejzabezpieczyćdanenadyskuzapomo-
cąszyfrowania?Poniżejopisujemynajważniejszeme-
todyinarzędziadoszyfrowaniapamięcimasowej
wLinuksie.
sterowniki.Warstwaurządzeńblokowychjądrawyko-
rzystujesztuczkę,umożliwiającąłączenieszeregowe
różnychsterownikówwcelupołączeniaichfunkcji.
Dmcryptstanowiczęśćwarstwyurządzeńblokowych.
Jeśliadministratorpoinstruujeprogrammapujący
urządzenie(naprzykładLVM),abydołączyłsterownik
Dmcryptadourządzeniablokowegoprzeduzyskaniem
doniegodostępu,wszystkiefunkcjeDmcryptastaną
siędostępnedladanegourządzeniablokowego.Dm-
cryptimplementujerównieżwłasneszyfrowanie.Jed-
nakwoczachtwórcówjądrateśrodkiniewystarczą,by
sprostaćdzisiejszymwymaganiom.Wzwiązkuztym
stworzyliformatLUKS,którystandaryzujewszystkie
funkcjepotrzebnedoszyfrowaniaidefiniujejejako
częśćnagłówkawtabelipartycji.Oznaczatorównież,że
definicjazaszyfrowanychdyskówwsystemieLinuxjest
niezależnaoddystrybucjiidostawcy.
Zintegrowanyzsystemem
ObecnieCryptsetupzobsługąLUKSjestdołączonydo
wszystkichdystrybucji.Większośćproducentówzinte-
growałarównieżtonarzędziebezpośredniozeswoimi
CryptsetupzLUKS
proceduramikonfiguracyjnymi.Możemyrozpocząć
Prawiekażdy,ktokiedykolwiekmiałdoczynieniazszy-
szyfrowaniepodczasinstalowaniaposzczególnychkata-
frowaniemwsystemieLinux,natknąłsięnaskrótLUKS
logów,takichjak/home,lubzaszyfrowaćcałydysk.
[1],cooznaczaLinuxUnifiedKeySetup.StandardLUKS
Pozaszyfrowaniudyskusystemoperacyjnyniebędzie
opisuje,jakpowinnowyglądaćszyfrowaniedysków
jużmógłbyćuruchomionybezhasła.Jeśliwyjmiemy
wsystemieLinux(Rysunek1).LUKS
jestopartynanarzędziuCryptsetup,
którezkoleiwykorzystujemodułją-
draonazwieDmcryptdozarządza-
niazaszyfrowanymiwoluminami.
Napierwszyrzutokabrzmito
znaczniebardziejchaotycznie
niżjestwrzeczywistości—przy-
najmniejjeślipamiętamy,żeod
dziesięciolecijądroLinuksaob-
Rysunek1:LUKS,standardowyformatdyskówzaszyfrowanychwsystemieLinux,działa
sługujeurządzeniablokoweiich
wwieluróżnychdystrybucjach.©Suse
8
MAJ2022
NUMER219
LINUX-MAGAZINE.PL
