Мисля, че всеки някога мисълта за това как да се себе си или вашия сървър защити в случай, ако те дойдат неканени "гости" под прикритие. Така че аз се появи на задачата за защита на местните медии сървъра от атаки, като прекара няколко дни за gugleniya и четене ръчно / HOWTO - Аз бях в състояние да осъзнае това. Трябва да кажа, криптиране статии много, но в общи линии те са проектирани, за да кодира само определени участъци или остарели / съдържат много грешки.
1. Всички винт (ите) трябва да бъде здраво криптирани
2. Винтовете трябва да бъдат абсолютно никакво разделение, като че ли е нов (или изтрити) винт
3. Операционната система трябва да бъде на криптиран дял
4. Трябва да бъде в състояние да се увеличи пространството за съхранение, чрез добавяне на нови винтове
5. Boot системата, без да въвеждате ключ от шифрирани данни
За да започнете, накратко обясни теорията за това как тя ще работи: за зареждане на ОС и ключа за достъп ще се съхранява в малък (<50Mb) разделе флешки, при включении загрузчик разблокирует доступ к шифрованному винту, загружает ядро, подключает виртуальные разделы(LVM), далее происходит обычная загрузка системы. В качестве операционной системы был выбран Ububtu Server 9.10, но реализовать эту задачу можно на любой UNIX-like системе. Сразу оговорюсь, в самом инсталляторе есть возможность шифрования системы на этапе установки, но там нельзя реализовать пункты 1 и 2 из списка выше потому будем действовать в ручную.
Имаме нужда от:
1. Образът на Ubuntu 9.10 сървър
2. разпределение LiveCD. Взех един нормален CD Ubuntu Desktop, тъй като тя може да работи с криптирани дялове "извън кутията".
3. USB флаш диск, който ще се използва за зареждане на системата
4. Основни познания за * Никс системи
5. Преки ръце
Стъпка 1: Подготовка на диск и флаш дискове твърди
а) разбивка на пръчката в раздели и създаване на ключ
Свържете USB флаш устройството към компютъра, на който винта ще бъде криптиран и Boot LiveCD. Нашата задача е да се създаде на нашите флаш устройство 2 секции: първата отнема почти цялото пространство и ще бъде форматиран в FAT16, FAT32, NTFS (по ваш избор), втора точка в края на пръчката до 50MB и формат в ext2. Тази разбивка не е случайно - на първоначалния списък, защото на флаш паметта ще бъде напълно функционална във всяка операционна система. Също така през прозорците на втората част ще бъде на разположение - което е плюс, ако вашата флаш устройство попада в неподходящи ръце. За да създадете дял, аз използвах графична програма GParted (беше на LiveCD), но нищо не пречи да използвате Fdisk. След разделянето им primontiruem в системата:
Сега създайте файл с ключ, с които ние ще шифрова винта и да направи дубликат на него (за всеки случай):
б) Получаване на винта за криптиране
Вторият начин аз лично не съм тестван-късно беше установено след изготвянето на винта. Той използва софтуер, за да се провери винтовете лоши блокове. Скоростта на този процес и "качество" randomdannyh не мога да кажа нищо.
Сега, когато на повърхността на диска е пълен, че е време да криптирате. За това ние използваме ЛУКС технология.
Ще получите предупреждение за унищожаване на данни, за да се потвърди необходимостта да се напише ДА (с главни букви). Свързване на шифрован диск:
Ние въведете паролата и да получите нов блок устройство / сътрудничество / четящото устройство / DriveSpace. С получената устройството може да се управлява с конвенционален винт.
в) Създаване на виртуална разделяне (LVM)
Можете да създавате собствени дялове и да ги форматирате, но този метод не позволява в бъдеще да разширим нашите форуми и блогове (трябва да добавите нов), така че използвайте LVM технологии. С една дума той ви позволява по всяко време да се добавят нови винтове в басейна и разшири обхвата на логическите дялове на добавената пространство. Моят LiveCD изрита без необходимите пакети, така че не забравяйте да ги инсталирате, след което ние създаваме от нашите разшифрован винтове физическа преградни и го разделете на логически.
Сега имаме още 3 блок устройство / сътрудничество / картограф / VG-суап / сътрудничество / картограф / VG-корен / сътрудничество / картограф / VG-данни. Форматирането ги в желаната файловата система.
Всичко! Нашата винт е готов да прехвърли на операционната система на него. За да се подготви системата, ние се нуждаем UUIDy винтове и раздели, така че да ги съхранява на файл на флашка
Стъпка 2: Подготовка на операционната система
а) Монтаж на системата
Инсталирайте нашата операционна система е необходимо нито на един винт, или на друг компютър (Вирт. Machine). Преди монтаж се свързваме нашата пръчка. Монтажът се извършва най-добре в минимална конфигурация, настройки избират да отговаря на нуждите ви. Единственият важното - трябва да се уточни / багажника е инсталиран на втората част на пръчката веднага (за да не се прехвърлят).
б) Инсталиране на допълнителни пакети, променете настройките
След като инсталацията приключи, ние трябва да се добави в пакети за подкрепа на криптиране и LVM и коригиране на някои конфигурации. Инсталирайте пакета (когато е свързан към интернет):
Член конфигурация GRUB. В Ubuntu използва GRUB2, защото ние се коригира /boot/grub/grub.cfg. Търсим menuentry «Ubuntu, Linux 2.6.31-14-сървър" и малко по-къса от мен
Linux /vmlinuz-2.6.31-14-server корен = UUID = 9a651089-88fa-46d6-ро b547-38d3e10d4e67 тих плясък
за
Linux /vmlinuz-2.6.31-14-server корен = / сътрудничество / картограф / VG-корен ро тих плясък
За / обувка точка на монтиране показва UUID втория дял пръчка (може да бъде взето от файл на флаш устройство или да се видим отново в системата), че е необходимо, че системата е винаги монтира правилния дял, независимо от броя на свързаните флаш карти / винтове.
Правото на / и т.н. / crypttab
DriveSpace UUID = 090d14c1-e3c8-48e7-b123-6d9b8b2e502b / обувка / MyKey лукс, шифър = AES-CBC-essiv: SHA256
След това уточни UUID на нашите шифровани винтове (погледнете на флаш памет във файл)
в) Промяна на initrd
Подгответе initrd да работи с криптиране и LVM. В файла / и т.н. / initramfs инструменти / модули добави:
dm_mod
dm_crypt
SHA256
aes_generic
Създаване на файла / и т.н. / initramfs-инструменти / куки / cryptokeys с този скрипт:
Предв = "«
prereqs ()
ехо "$ предв"
>
При $ 1
prereqs)
prereqs
изход 0
;;
ESAC
ако [. -x / sbin / cryptsetup]; след това
изход 0
Fi
Той ще копира нашия ключов файл на необичайно място вътре initrd на изображението, отново на USB флаш устройството не е свързано. Създаване на файл / и т.н. / initramfs-инструменти / скриптове / местно върха / cryptokeys със скрипта:
Предв = »Удев"
prereqs ()
ехо «$ предв»
>
При $ 1
# Get предпоставки
prereqs)
prereqs
изход 0
;;
ESAC
modprobe -b dm_crypt
modprobe -b aes_generic
modprobe -b SHA256
а. / Sbin / cryptsetup -d = / и т.н. / конзола / MyKey luksOpen / ррт / диск / по-UUID / 090d14c1-e3c8-48e7-b123-6d9b8b2e502b DriveSpace; правя
ехо «Опитайте отново. "
свършен
Тя е изработена в процеса на зареждане на initrd, заредете съответните модули на ядрото, и ще се опитаме да отворим криптиран винт с UUID = 090d14c1-e3c8-48e7-b123-6d9b8b2e502b. (Цикъл е направена за случай на пропуск на ключа). Трябва да въведете тук си UUID на шифровани винтове.
Сега се изпълни:
SUDO актуализацията initramfs -u ALL
г) Опаковка система за прехвърляне
Ние монтиране нашия дял с основната файлова система в отделна папка и пакет от първата част на пръчката:
Сега можете да прехвърляте системата.
СТЪПКА система 3. Трансфер
Това е проста: ние се свърже нашата USB флаш устройство с резервно копие, зареждане от LiveCD, свържете сигурна шнек е настроена пакет подкрепа LVM, инсталиране на виртуалната корен (вероятно първо трябва да изпълнява vgscan и vgmknodes система, за да видите секции), монтиране на USB флаш устройството и разопаковането на системата за архив.
Ами това е всичко, рестартирайте компютъра си и да зареждат от флаш карта. Ако всичко е направено правилно, а след това след няколко секунди ще видите надпис Key слот 0 отключен, а след това си винт декодира и свързан, а след това по подразбиране ще се зареди.
В случай на домашен компютър, като системата ви дава възможност да се направи надеждна защита на личните ви данни и няма да позволи на никого да използвате компютър без ваше знание (без светкавица); в случай на сървъра в организацията, ако ти дойде да провери - издърпа пръчка и убождането нулиране и експерти имат не-бизнес / нов компютър; сървъра на хостинг компанията Бих усложни системата и съхранете ключа някъде в мрежата, ако сървърът се изключва и отнето, то не може да се стартира без връзка с интернет (и трябва бързо да премахне достъпа до ключ - за да не се зареди).
Ако направите нещата работят още от първия път, можете спокойно да изтриете всички файлове от първата глава на пръчката.
Не забравяйте да направите копие на ключа си, за да се избегне загубата на достъп до техните данни. Също така е добра идея да добавите втори ключ на парола (как да направите това може да се намери в LUKS документация / cryptsetup). Организация на устойчиви на грешки на RAID1,5,6 базирани съхранение и няма да бъде прекомерно когато съхранявате ценна информация.
Когато настроите цялата система Аз първоначално го по модел на виртуална машина, и след това се прехвърлят само на истински компютър. И все пак много искал да знам мнението на адвокати (за предпочитане от Украйна), за сметка на доказуемост вина в разпространението на пиратско съдържание, ако експертите не могат да получат до информацията (а това е невъзможно без ключ), но намирам, че винта е кодирано.
Свързани статии