Šifrování celého disku (FDE) je jedním z nejlepších bezpečnostních opatření, která můžete podniknout k ochraně dat v úložišti zařízení. Jak název napovídá, FDE šifruje obsah (soubory, software) úložné jednotky v celém rozsahu, včetně samotného operačního systému. FDE lze aktivovat v systémech Linux, Windows a macOS i v systémech Android.
Pokud je ve vašem zařízení povoleno FDE, budete muset při každém pokusu o přihlášení poskytnout šifrovací klíč. Jakmile zadáte správný šifrovací klíč, disk se dešifruje a zařízení se spustí jako obvykle.
FDE by nemělo být zaměňováno se šifrováním na úrovni souborů (FLE), protože toto chrání pouze jednotlivé soubory, které uživatel zašifroval ručně.
Je třeba také poznamenat, že šifrování celého disku funguje, pouze pokud se uživatel odhlásil ze systému. Jakmile se do systému přihlásí oprávněný uživatel,
Ačkoli to není samo o sobě dostatečné, FDE slouží jako skvělý první krok k zabezpečení vašich dat před neoprávněným přístupem.
V tomto výukovém programu se naučíte, jak nastavit ArchLinux s Full Disk Encryption s režimem firmwaru UEFI a v diskové oblasti GPT.
Krok 1: Nastavte spouštěcí režim na UEFI
Chcete-li postupovat podle této příručky, musíte nejprve nastavit režim spouštění na UEFI.
Chcete-li zkontrolovat, zda je váš systém již v UEFI, zadejte následující příkaz k vyvolání adresáře efivars:
$ ls / sys / firmware / efi / efivarsPokud se před adresářem nezobrazí žádná chyba, můžete si být jisti, že systém byl spuštěn v systému UEFI.
Pokud se systém nespustil v systému UEFI, restartujte počítač a stiskněte klávesu nabídky na klávesnici (která klávesa závisí na konkrétním modelu, který používáte; vyhledejte jej). Otevřete kartu firmwaru a nastavte systém na spuštění v režimu UEFI.
Krok 2: Zajistěte, aby byly hodiny systému přesné
Zkontrolujte, zda jsou vaše systémové hodiny aktuální, zadáním následujících údajů:
$ timedatectl set-ntp trueNásledující syntaxe nastaví čas:
$ timedatectl set-time "rrrr-MM-dd hh: mm: ss"Krok 3: Oddělte oddíly v úložišti
Chcete-li použít gdisk k vytvoření kořenových a zaváděcích oddílů, vydejte následující:
$ gdisk / dev / sdaPoté odstraňte již existující diskové oddíly stisknutím Ó, a stiskněte n dvakrát, když budete požádáni o vstup. Poté stiskněte p Chcete-li zobrazit seznam již existujících oddílů, stiskněte w přepsat tyto oddíly a stisknout y potvrdit.
Krok 4: Ready Root Partition
Dalším krokem je nastavení kořenového oddílu. Udělejte to zadáním následujícího:
$ cryptsetup luksFormat / dev / sda2$ cryptsetup open / dev / sda2 cryptroot
$ mkfs.ext4 / dev / mapper / cryptroot
Poté připojte šifrovaný kořenový oddíl:
$ mount / dev / mapper / cryptroot / mnt
Krok 5: Nakonfigurujte spouštěcí oddíl
Spuštěním následujícího příkazu vytvořte spouštěcí oddíl:
$ mkfs.tuk -F32 / dev / sda1$ mkdir / mnt / boot
Poté připojte oddíl zadáním následujícího:
$ mount / dev / sda1 / mnt / boot
Krok 6: Nainstalujte podpůrné závislosti
Vydáním následujícího příkazu vytvořte soubor fstab:
$ genfstab -U / mnt >> / mnt / etc / fstab
Poté stáhněte balíčky vim a dhcpcd zadáním následujícího:
Krok 7: Změňte kořenový adresář
Ke změně kořenového adresáře použijte následující příkaz:
$ arch-chroot / mnt
Krok 8: Nastavte časové zóny
Ujistěte se, že časové pásmo odpovídá vaší poloze:
$ ln -sf / usr / share / zoneinfo / America / Los_Angeles / etc / localtime$ hwclock --systohc
Krok 9: Upravte příslušné národní prostředí
Spuštěním následujícího příkazu zobrazte seznam příslušných národních prostředí:
$ národní prostředí$ localectl set-locale LANG = en_US.UTF-8
Zejména upravíte / etc / locale.národní prostředí gen.
Krok 10: Změňte na mkinitcpio
Nejprve připojte / etc / hosts:
# 127.0.0.1 localhost# :: 1 localhost
Poté vyhledejte a upravte soubor / etc / mkinitcpio.konf.
Nezapomeňte zahrnout šifrovací háčky a přenést háčky klávesnice tak, aby šifra šla za ním.
Zadejte následující příkaz k vytvoření zaváděcích obrazů:
Krok 11: Zadejte šifrovací klíč
$ heslo
Krok 12: Nainstalujte si balíček ucode
Pokud používáte Intel, zadejte následující příkaz:
$ pacman -S intel-ucode
Pro uživatele AMD by měl být příkaz:
Krok 13: Nainstalujte a nastavte správce spouštění EFI
Chcete-li nainstalovat správce spouštění EFI, spusťte následující příkaz:
$ bootctl instalace
Krok 14: Spusťte restart
Zadejte příkaz exit a poté restartujte.
$ restartPo restartu budete vyzváni k zadání hesla.
To je ono! Takto instalujete ArchLinux s šifrováním celého disku.
Závěr
Jedním z nejlepších způsobů ochrany vašeho telefonu, počítače a notebooku před neoprávněnými přihlašováními je šifrování celého disku.
V tomto kurzu jste se naučili, jak nainstalovat ArchLinux s šifrováním celého disku. Díky FDE, které máte k dispozici, se již nemusíte starat o to, aby do vašeho systému vnikli další lidé.
Doufejme, že vám tento návod byl užitečný a snadno použitelný. Držte se linuxhint.com pro další příspěvky týkající se zabezpečení dat.