Funkce šifrování na úrovni souborového systému Btrfs stále není k dispozici. Můžete však použít šifrovací nástroj třetí strany, jako je dm-krypta k zašifrování celého úložného zařízení vašeho souborového systému Btrfs.
V tomto článku vám ukážu, jak šifrovat úložná zařízení přidaná do souborového systému Btrfs pomocí dm-crypt. Pojďme tedy začít.
Zkratky
- ŠTĚSTÍ - Linux Unified Key Setup
- HDD - Pevný disk
- SSD - Jednotka SSD
Předpoklady
Postupujte podle tohoto článku:
- Musíte mít spuštěnou pracovní stanici Fedora 33 nebo Ubuntu 20.04 LTS Linuxová distribuce na vašem počítači.
- Musíte mít v počítači volný HDD / SSD.
Jak vidíte, mám pevný disk sdb na mém Ubuntu 20.04 LTS stroj. Zašifruji to a naformátuji pomocí souborového systému Btrfs.
$ sudo lsblk -e7
Instalace požadovaných balíčků na Ubuntu 20.04 LTS
Chcete-li šifrovat úložná zařízení a formátovat je pomocí souborového systému Btrfs, musíte mít btrfs-progs a kryptsetup balíčky nainstalované na vašem Ubuntu 20.04 LTS stroj. Naštěstí jsou tyto balíčky k dispozici v oficiálním úložišti balíků Ubuntu 20.04 LTS.
Nejprve aktualizujte mezipaměť úložiště balíčků APT pomocí následujícího příkazu:
$ sudo apt aktualizace
Instalovat btrfs-progs a kryptsetup, spusťte následující příkaz:
Instalaci potvrďte stisknutím Y a poté stiskněte <Enter>.
The btrfs-progs a kryptsetup balíčky a jejich závislosti se instalují.
The btrfs-progs a kryptsetup v tomto okamžiku by měly být nainstalovány balíčky.
Instalace požadovaných balíčků na Fedoru 33
Chcete-li šifrovat úložná zařízení a formátovat je pomocí souborového systému Btrfs, musíte mít btrfs-progs a kryptsetup balíčky nainstalované na vašem počítači pracovní stanice Fedora 33. Naštěstí jsou tyto balíčky k dispozici v oficiálním úložišti balíků pracovní stanice Fedora 33.
Nejprve aktualizujte mezipaměť úložiště balíků DNF pomocí následujícího příkazu:
$ sudo dnf makecache
Instalovat btrfs-progs a kryptsetup, spusťte následující příkaz:
Pracovní stanice Fedora 33 ve výchozím nastavení používá souborový systém Btrfs. Je tedy pravděpodobnější, že tyto balíčky již budete mít nainstalované, jak vidíte na obrázku níže. Pokud z nějakého důvodu nejsou nainstalovány, budou nainstalovány.
Generování šifrovacího klíče
Než budete moci zašifrovat svá úložná zařízení kryptsetup, musíte vygenerovat náhodný klíč dlouhý 64 bytů.
Šifrovací klíč můžete vygenerovat a uložit do složky / etc / cryptkey soubor s následujícím příkazem:
$ sudo dd if = / dev / urandom of = / etc / cryptkey bs = 64 count = 1
Nový šifrovací klíč by měl být vygenerován a uložen v / etc / cryptkey soubor.
Soubor šifrovacího klíče / etc / cryptkey ve výchozím nastavení může číst každý, jak vidíte na následujícím obrázku. Jedná se o bezpečnostní riziko. Chceme jen vykořenit uživatele, aby mohl číst / zapisovat do Soubor / etc / cryptkey.
Chcete-li povolit čtení / zápis do souboru pouze uživateli root Soubor / etc / cryptkey, změňte oprávnění souboru následujícím způsobem:
Jak vidíte, pouze vykořenit uživatel má oprávnění ke čtení / zápisu (rw) do / etc / cryptkey soubor. Takže nikdo jiný nemůže vidět, co je v / etc / cryptkey soubor.
Šifrování úložných zařízení pomocí dm-crypt
Nyní, když jste vygenerovali šifrovací klíč, můžete šifrovat úložné zařízení. řekněme, sdb, s technologií šifrování disku LUKS v2 (verze 2) následujícím způsobem:
$ sudo cryptsetup -v --typ luks2 luksFormat / dev / sdb / etc / cryptkey
kryptsetup vás vyzve k potvrzení operace šifrování.
POZNÁMKA: Všechna data na vašem HDD / SSD by měla být odstraněna. Než se tedy pokusíte zašifrovat pevný disk / SSD, nezapomeňte přesunout všechna důležitá data.
Chcete-li potvrdit operaci šifrování disku, zadejte ANO (velkými písmeny) a stiskněte
V tomto okamžiku úložné zařízení / dev / sdb by měl být šifrován pomocí šifrovacího klíče / etc / cryptkey.
Otevření šifrovaných úložných zařízení
Jakmile zašifrujete paměťové zařízení pomocí kryptsetup, musíte jej otevřít pomocí kryptsetup nástroj k jeho použití.
Můžete otevřít šifrované úložné zařízení sdb a namapujte jej do počítače jako data paměťové zařízení takto:
$ sudo cryptsetup open --key-file = / etc / cryptkey --typ luks2 / dev / sdb data
Nyní bude v cestě k dispozici dešifrované úložné zařízení / dev / mapper / data. Musíte vytvořit požadovaný souborový systém v / dev / mapovač / datové zařízení a namontovat / dev / mapovač / datové zařízení namísto / dev / sdb od teď.
Vytváření souborového systému Btrfs na šifrovaných zařízeních:
Vytvoření souborového systému Btrfs na dešifrovaném úložném zařízení / dev / mapper / data s daty štítku spusťte následující příkaz:
$ sudo mkfs.btrfs -L data / dev / mapper / data
Na systému by měl být vytvořen souborový systém Btrfs / dev / mapovač / zařízení pro ukládání dat, který je dešifrován z úložného zařízení / dev / sdb (šifrováno pomocí LUKS 2).
Připojení šifrovaného souborového systému Btrfs
Můžete také připojit souborový systém Btrfs, který jste vytvořili dříve.
Řekněme, že chcete připojit souborový systém Btrfs, který jste vytvořili dříve v /data adresář.
Takže vytvořte /data adresář takto:
$ sudo mkdir -v / data
Chcete-li připojit souborový systém Btrfs vytvořený na serveru / dev / mapovač / zařízení pro ukládání dat v /data adresáře, spusťte následující příkaz:
Jak vidíte, souborový systém Btrfs byl vytvořen na šifrovaném úložném zařízení sdb je namontován v /data adresář.
Automatické připojení šifrovaného souborového systému Btrfs při spuštění
Šifrovaný souborový systém Btrfs můžete připojit také při spuštění.
Chcete-li připojit šifrovaný souborový systém Btrfs v době bootování, musíte:
- dešifrovat úložné zařízení / dev / sdb při spuštění pomocí / etc / cryptkey soubor šifrovacího klíče
- připojte dešifrované úložné zařízení / dev / mapper / data do /data adresář
Nejprve najděte UUID souboru sdb šifrované úložné zařízení pomocí následujícího příkazu:
$ sudo blkid / dev / sdb
Jak vidíte, UUID z sdb šifrované úložné zařízení je 1c66b0de-b2a3-4d28-81c5-81950434f972. Bude to pro vás jiné. Nezapomeňte ji tedy od nynějška změnit.
Chcete-li automaticky dešifrovat sdb paměťové zařízení v době bootování, musíte pro něj přidat položku na / etc / crypttab soubor.
Otevři / etc / crypttab soubor s nano textový editor takto:
$ sudo nano / etc / crypttab
Přidejte následující řádek na konec / etc / crypttab soubor, pokud používáte pevný disk.
Přidejte následující řádek na konec / etc / crypttab soubor, pokud používáte SSD.
data UUID = 1c66b0de-b2a3-4d28-81c5-81950434f972 / etc / cryptkey luks, noearly, discardAž budete hotovi, stiskněte <Ctrl> + X, následován Y, a <Enter> uložit / etc / crypttab soubor.
Nyní najděte UUID dešifrovaného / dev / mapper / data úložné zařízení s následujícím příkazem:
Jak vidíte, UUID z / dev / mapper / data dešifrované úložné zařízení je dafd9d61-bdc9-446a-8b0c-aa209bfab98d. Bude to pro vás jiné. Nezapomeňte ji tedy od nynějška změnit.
Automaticky připojit dešifrované úložné zařízení / dev / mapper / data v adresáři / data v době bootování, musíte pro něj přidat záznam na / etc / fstab soubor.
Otevři Soubor / etc / fstab s nano textový editor takto:
$ sudo nano / etc / fstab
Nyní přidejte následující řádek na konec / etc / fstab soubor:
Až budete hotovi, stiskněte <Ctrl> + X, následován Y, a <Enter> uložit / etc / fstab soubor.
Nakonec restartujte počítač, aby se změny projevily.
Šifrované úložné zařízení sdb je dešifrován do data paměťové zařízení a data paměťové zařízení je připojeno k /data adresář.
Jak vidíte, souborový systém Btrfs, který byl vytvořen na dešifrování / dev / mapper / data paměťové zařízení je připojeno k /data adresář.
Závěr
V tomto článku jsem vám ukázal, jak šifrovat úložné zařízení pomocí šifrovací technologie LUKS 2 pomocí cryptsetup. Naučíte se také dešifrovat šifrované úložné zařízení a naformátovat je také pomocí souborového systému Btrfs. Stejně jako způsob, jak automaticky dešifrovat šifrované úložné zařízení a připojit jej při spuštění. Tento článek by vám měl pomoci začít se šifrováním souborového systému Btrfs.