Sistema Centos

Cryptsetup / tmp / canje y / home en LVM

 

Esta guía le ayudará a configurar el archivo / tmp, / swap y / home a cifrar utilizando cryptsetup LUKS. Voy a suponer que usted ya tiene un sistema instalado, y necesita agregar el cifrado para / tmp, / swap y / home. Voy a suponer que usted tiene datos en / home, así que mucho cuidado para backup / home antes de continuar. Hay una guía en el wiki de CentOS , pero es para el cifrado de archivos, no particiones, así que quería una guía más específica para / tmp, / swap y / home. Esta guía asume que desea enteras las particiones cifradas, así que se borrará los datos sobre ellos.

 

Sistema:

CentOS 5.x

 

Referencias:

Cifrado del sistema de archivos 
cifrados / tmp y / swaps

 

Configuración del sistema

A menos que la base sin control durante la instalación, y decide instalar prácticamente nada, entonces usted ya debe tener las herramientas necesarias para hacer el cifrado. Verifique primero, y luego proceder.

 

# Rpm-q cryptsetup mapeador de dispositivos util-linux
# Modprobe dm_crypt
# Lsmod | grep dm_crypt

 

Copia de seguridad / Casa

Yo no debería tener que decirte más, pero asegúrese de backup / home en una fuente externa antes de continuar! Incluso si usted tiene el espacio en su disco duro, obtener una copia de seguridad de su disco actual ya que va a ensuciar con el sistema de archivos local.

 

# Cp-ARFP / home / algunos / external / almacenamiento

 

Cifrar / swaps

Vamos a empezar con encriptación / intercambio primero, verificar que esto funciona, y luego pasar a / tmp. Yo sugeriría apagar su anfitrión hacia abajo, pero no absolutamente que hacerlo si no quieres. Desde canje no será tocado de nuevo hasta el próximo arranque, puede hacer esto en vivo. Vamos a crear un archivo / etc / crypttab y agregue los parámetros de intercambio.

 

# Vim / etc / crypttab
swap / dev/vg0/swap / dev / urandom swap, cipher = aes-cbc-essiv: sha256

Dependiendo de sus nombres de los grupos de volumen y el diseño, cambiar la ruta de acceso para satisfacer sus necesidades. Esto especifica que el sistema de encriptación a usar AES y encriptación SHA256 poco durante el inicio, con una clave aleatoria.Cada arranque, se generará una nueva clave para su uso, mientras que el sistema está funcionando. Cuando se apaga, la clave no estará vivo, y por lo tanto / swap es protegida.

A continuación, edite el archivo / etc / fstab para reflejar los cambios.

 

/ dev / mapper / swap defaults ninguno de swap 0 0

Eso es todo para la encriptación de swap. Puede reiniciar ahora y ver que de intercambio se vuelve a encender, o puede continuar y hacer / tmp al mismo tiempo.

 

Cifrar / tmp

Cifrar / tmp es ligeramente diferente a hacerlo con / swap. Tendrá que utilizar un script para montar / tmp después de / etc / fstab que se ha leído. Crédito para el guión va a clasohm.com donde lo encontré. Se crea el volumen cifrado después de / etc / fstab ha procesado, y hacer a las necesidades camino / tmp accedido (supongo), / tmp tiene ser manejado de forma especial.

Primero, añada las líneas necesarias en / etc / crypttab y también tomar las líneas necesarias en / etc / fstab que normalmente se monta en / tmp.

 

# Vim / etc / crypttab
tmp / dev/vg0/tmp / dev / urandom tmp, cipher = aes-cbc-essiv: sha256

# Vim / etc / fstab
# Asegúrese de comentar esto más abajo.
# / Dev/vg0/tmp / tmp ext3 defaults 1 2

Copia y pega el script desde clasohm.com y colóquela en / etc / init.d.

 

# Vim / etc / init.d / cryptotmp

#! / Bin / bash
#
Setup # cryptotmp encriptado partición tmp
#
# Chkconfig: 2345 01 90
# Descripción: añade partición tmp encriptado.

. / etc / init.d / functions

# Mira cómo nos llamábamos.
case "$ 1"
    comenzar)
        mount / dev / mapper / tmp / tmp
        restorecon / tmp

        acción "Agregar tmp cifrado"

        touch / var / lock / subsistemas / cryptotmp
        ;;
    parar)
        rm-f / var / lock / subsistemas / cryptotmp
        ;;
    *)
        echo $ "Uso: $ 0 {start | stop}"
        salida 1
esac

exit 0

Haga el script ejecutable y chkconfig en.

 

# chmod + x / etc / init.d / cryptotmp
# Chkconfig - add cryptotmp

Esto hace lo mismo que la grabación / intercambio ahora. Cuando el sistema arranca, se genera una clave y se utilizan para cifrar / tmp. Cuando el sistema se apaga, la clave se pierde y por lo tanto / tmp está protegida. Si tiene scripts que escriben en / tmp para algo, sin embargo, tener en cuenta que el contenido de / swap y / tmp serán borrados cuando el sistema se apaga. También, clasohm.com estados que suspenden en el disco fallará después de cifrar / swap y / tmp, comprensible tan. Para verificar las cosas están funcionando antes de cifrar la partición / home, reinicie el sistema y asegúrese de que vuelve a estar conectado con / swap y / tmp.

 

Cifrar / Casa

A continuación, vamos a cifrar / home. Una vez más, usted puede hacer esto en vivo, pero si usted está conectado a su equipo, tendrá que salir de su perfil y de una línea de comandos de root. Vas a tener que desmontar / home para que pueda cifrar la partición y volver a crear un sistema de ficheros en él. Para la tercera advertencia, copia de seguridad de su partición / home de su disco local!

Si no lo ha hecho ya, y luego hacerlo. Luego desmontar / home.

 

# Cp-ARFP / home / algunos / external / almacenamiento
# Umount / home

Configuración de la contraseña de LUKS en el envase. Asegúrese de elegir una buena frase de contraseña fuerte. Significado, algo con mayúsculas, minúsculas, símbolos y números en la contraseña. Usted es el cifrado está custodiada por esto, así que no tenga miedo de hacer una buena frase de contraseña largo.

 

# Cryptsetup luksFormat / dev/vg0/home

ADVERTENCIA!
========
Esto sobrescribir datos / dev/vg0/home irrevocablemente.

¿Está seguro? (Escriba en mayúsculas, sí): SI
Enter LUKS passphrase:
Verifique frase de contraseña:
Dirige con éxito.

A continuación, abra la partición cifrada con la clave que ha creado.

 

# Cryptsetup luksOpen / dev/vg0/home casa
Enter LUKS passphrase:

Complete el dispositivo con datos aleatorios, por lo que cualquiera que los exámenes que el disco no se puede determinar la cantidad de datos está en la unidad. Si usted tiene una gran partición, esto podría tomar un tiempo, por lo que ir a tomar un café, refresco o cerveza, y volver más tarde. Puede saltarse este paso, pero que fortalecerá su cifrado en gran medida por tomarse el tiempo para hacerlo.

 

# dd if = / dev / urandom of = / dev / mapper / home

Desde dd no tiene ninguna indicación de estado, aquí hay un truco para ver el tiempo que el proceso se está llevando. En primer lugar, busque el identificador del proceso de su comando dd de arriba, a continuación, utilizar el reloj y matar a mostrar algo de información de estado.

 

# Ps UXA | grep dd
# Watch-n 20 kill-USR1 PID

Ahora tiene que crear el sistema de ficheros en la partición.

 

# mke2fs-j-O dir_index / dev / mapper / home
# tune2fs-l / dev / mapper / home

Por último, cierre la partición cifrada copia de seguridad.

 

LuksClose # crypsetup casa

Al igual que con la partición / swap, tendrá que editar el archivo / etc / fstab y añadir la ruta correcta.

 

# Vim / etc / fstab

Ext3 defaults # / dev/vg0/home / Casa 1 2
Ext3 defaults / dev / mapper / home / home 1 2

Por último, agregue la ruta de acceso a la ruta / etc / crypttab. Si sólo se especifica la partición y directorio de inicio como los dos primeros parámetros, a continuación, en el arranque se le pedirá la contraseña de frase LUKS la protección de sus datos. Usted puede entrar en algunas cosas de lujo, como el almacenamiento de su clave en una llave USB, y tener que monta automáticamente y que arranque, pero yo no vi la necesidad de eso.

 

# Vim / etc / crypttab

casa / dev/vg0/home

Seguir adelante y reiniciar ahora. Debe venir y pedir la contraseña LUKS. Entrar en ella, y se montará el directorio / home. A continuación, puede sincronizar de nuevo todos los datos antiguos, y listo, usted está ahora protegido por el cifrado con / tmp, / swap y / home está todo encriptado. Si alguien le roba su hardware, usted debe ser seguro. Obviamente, si usted quiere otras particiones cifradas, cambiando / a casa con algo más. Por ejemplo, un directorio de copia de seguridad que se utiliza en el hogar para las máquinas de copia de seguridad. Voy a estar replicando esta configuración en mi escritorio en casa, pero también voy a cifrar / srv donde se almacenan mis copias de seguridad de portátiles. También, si usted todavía no está seguro acerca de estas cosas cifrado, arrancar un CD livd como Knoppix y meter todo el sistema de archivos para ver si usted puede conseguir / home montado.

CONSEJO Acerca de Knoppix y LVM. Después de arrancar hacia arriba, asegúrese de ejecutar los dos comandos para forzar Knoppix para ver los grupos de volúmenes.

 

# Vgscan
# Vgchange-ay

Usted será capaz de ver ahora / dev/vg0/home partición como estar allí, sin embargo, usted no podrá realmente montarlo directamente solo usando el monte. Habría que utilizar cryptsetup luksOpen y luksClose para acceder a la partición. Para ello, no hay prueba de que la partición es seguro. Como siempre, por favor, corregir nada malo, dejar comentarios para mejoras, y todo lo habitual. También, gracias a clasohm.net por la ayuda en conseguir / tmp y / swap encriptado, así como la secuencia de comandos para montar / tmp en el arranque.

 

Adición LUKS Keys

Usted puede agregar hasta cuatro o cinco claves para un dispositivo cifrado, así que si usted necesita para permitir que alguien más acceso a la unidad, que lo hagan así.

 

# Cryptsetup luksAddKey / dev/vg0/home

 

Aviso sobre el cambio de tamaño LVM

He aquí una pequeña nota sobre el cambio de tamaño de LVM en un futuro, ya que ha añadido cifrado. Puede utilizar los comandos normales, pero hay que recordar una cosa. Después de extender el volumen lógico, necesitará usar dispositivo mapper cifrado para cambiar el tamaño, no el camino LVM típico.

 

# Lvextend-L 512 M / dev/vg0/home
# resize2fs / dev / mapper / home

 

Leave a Reply

Your email address will not be published. Required fields are marked *

*
To prove you're a person (not a spam script), type the security word shown in the picture. Click on the picture to hear an audio file of the word.
Anti-spam image