Fórum Ubuntu CZ/SK
Ostatní => Tipy a triky pro Linux => Téma založeno: kiflik 20 Února 2008, 21:07:35
-
Protože jsem již přišel o NB s daty, tak jsem začal šifrovat HDD a boot přesunul na USB klíčenku. Třeba to někomu k něčemu bude.
Zasunout do USB klíčenku a nabootovat z Live CD – 7.10, dát instalovat...
zvolit rozdělení disku (ručně) - USB klíčenka se u mě hlásí jako sdb, HDD jako sda
na klíči(sdb) vytvořit oddíl cca 200 Mb, ext3 připojit jako /boot (jako poslední oddíl - za fat, pokud budete klíčenku chtít používat pod WIN např. /dev/sdb2 )
na hdd(sda) vytvořit oddíl 2,5Gb a více, ext3 připojit jako / (/dev/sda1 nyní se použije jako root, později bude využit jako swap)
na hdd(sda) vytvořit oddíl pro systém a data XXXGb bez připojení (/dev/sda2 not used - bez file systému = budoucí /, /home atd.)
dokončit instalaci systému, restart
Jdeme na věc - házíme do terminálu :o
sudo passwd root
sudo su
povolit zdroj: nano /etc/apt/sources.list
deb http://archive.canonical.com/ubuntu gutsy partner
apt-get update
apt-get install cryptsetup
modprobe dm-crypt
modprobe dm-mod
modprobe aes
modprobe sha256
echo dm-crypt >> /etc/modules
echo dm-mod >> /etc/modules
echo aes >> /etc/modules
echo sha256 >> /etc/modules
luksformat -t ext3 /dev/sda2
cryptsetup --key-size 256 luksFormat /dev/sda2
cryptsetup luksOpen /dev/sda2 croot
mkfs.ext3 /dev/mapper/croot
mount /dev/mapper/croot /mnt
přenést systém
cd /mnt
cp -xa / .
(včetně tečky!)
připojení systému
cd /
mount --bind proc mnt/proc
mount --bind sys mnt/sys
mount --bind dev mnt/dev
chroot /mnt
mount /dev/sdb2 boot
připojení šifrovaných oddílů: nano /etc/crypttab
croot /dev/sda2 none luks
#cswap /dev/sda1 /dev/urandom swap
upravit připojení disků - zakomentovat (#) řádek – staré / (sda1): nano /etc/fstab
#UUID=xyzxyzxyz....... / ext3 defaults,errors=remount-ro 0 1
a dopsat nové připojení šifrovaných oddílů
/dev/mapper/croot / ext3 defaults,errors=remount-ro 0 1
#/dev/mapper/cswap none swap sw 0 0
upravit grub na klíčence:
cd /boot
update-initramfs -u
nano /boot/grub/menu.lst
změnit řádek:
kernel /vmlinuz-2.6.22-14-generic root=UUID=61916feb-4e66-40a5-aaf5-52764e1bff2d ro quiet splash
na:
kernel /vmlinuz-2.6.22-14-generic root=/dev/mapper/croot ro defoptions=quiet splash
zmáčknout: Ctrl-D
reboot
Běžíme na šifrovaném oddílu croot a potřebujeme staré (/) změnit na swap
sudo su
vyčistit sda1 a vytvořit swap (to je doba.... ): dd if=/dev/urandom of=/dev/sda1 bs=16M
naformátovat sda1 jako swap
mkswap /dev/sda1
mkdir /dev/.static/dev/mapper
nastavit připojení šifrovaného swapu = cswap, odkomentovat (smazat #) u cswap: nano /etc/crypttab
připojit cswap, odkomentovat (smazat #) u cswap: nano /etc/fstab
reboot
Kontrola:
ls /dev/mapper
má vypsat: control croot cswap
cat /proc/swaps
vypíše:
Filename Type Size Used Priority
/dev/mapper/cswap partition 2501888 0 -1
Pozor:
Pokud dojde k aktualizaci jádra, je nutné zkontrolovat (upravit) řádek v grubu (jinak nenabootujete): nano /boot/grub/menu.lst
kernel /vmlinuz-..... root=/dev/mapper/croot ro defoptions=quiet splash
Boot je na USB klíči a disk v NB je kompletně šifrován před nezvanými hosty, ale pokud ztratíte klíčenku nebo odejde do křemíkového nebe jste v … :'(
PS: lze samozřejmě vytvořit více klíčenek s /boot a "startovat" z libovolné nebo karty.
Nevím zda je vše „košer“, ale tímto postupem mám v provozu NB cca 2 měsíce a zatím OK.
Zdroj: net a spol.
-
;D joo, dobrý postup, ale to testovat raději nebudu
data o která mi jde jsem dříve šifroval nějak, ale teď co je TrueCrypt už v grafice, používám Truecrypt - pro začátečníky asi nejjednodušší (kryptovaný soubor o definované velikosti - používám 4G - který se připojí jako disk )
Mám dotaz k tvému řešení :
1) nebylo by lepší takto šifrovat jen jeden logický disk na NB ? Kvůli možné ztrátě dat ?
2) Co zálohovat, aby se při poškození bootu, nebo log. disku, kde je /"root" dal opět dešifrovat disk ?
Kamarád by chtěl také šifrovat NB, ale ještě si nevybral jak, kdybych chtěl použít tvé řešení, ale boot z NB a šifrovat jen logický disk s HOME ? Když budu mít zádfrhel, poradíš ;D ?
předem díky za odpovědi.
Pavel
-
kdybych chtěl šifrovat jen určitý oddíl nebo adresář / soubor, použil bych EncFS http://wiki.ubuntu.cz/encfs?highlight=%28encfs%29 (http://wiki.ubuntu.cz/encfs?highlight=%28encfs%29)
nebo celý /home a odblokovat jej při přihlášení, pak lze použít pam-encfs http://www.singularity.be/node/6344 (http://www.singularity.be/node/6344)
nevím proč používat TrueCrypt, když EncFs mám již v distribuci, umožňuje totéž a existuje i to klikátko: http://www.getdeb.net/app.php?name=Cryptkeeper (http://www.getdeb.net/app.php?name=Cryptkeeper) ;)
----
pokud chceš boot z NB = při instalaci vytvořit oddíl na HDD v NB cca 200Mb /boot, ext3 jako třeba /sda3 a v postupu
zaměnit: mount /dev/sdb2 boot (klíčenka)
za: mount /dev/sda3 boot (zvolený oddíl na HDD)
jinak vše stejné
----
ještě jednou k USB klíčence, pokud ji používáte na přenos souborů i ve WIN
/boot oddíl musí být jako poslední za fat-kou, jinak vám milá okna při zasunutí zařvou, že disk není naformátován! a následujícího
oddílu s fat si neráčí vůbec všimnout, natož jej použít :o
----
http://technet.idnes.cz/prolomit-lze-jakekoli-sifrovani-disku-staci-zmrazit-pamet-pax-/tec_denik.asp?c=A080221_230606_tec_denik_pka (http://technet.idnes.cz/prolomit-lze-jakekoli-sifrovani-disku-staci-zmrazit-pamet-pax-/tec_denik.asp?c=A080221_230606_tec_denik_pka)
-
asi jsem to napsal složitě... rozdělení disku:
na /dev/sda si vytvořit:
/dev/sda1 ext3 / formátovat ano 2500 MB
/dev/sda5 ext3 nic formátovat ano kolik chceš na budoucí systém včetně home
na /dev/sdb:
/dev/sdb1 asi fat32 (pokud ji chceš používat pod WIN)
/dev/sdb2 ext3 /boot formátovat ano 100 MB
Obrázky z instalace nemám :(
[attachment deleted by admin]
-
POZOR
v návodu je sda1 a sda2, ale ty máš sda1 a sda5... tak si to při instalaci změň (5 za 2 u sda) :)
po prvním spuštění systému nic neinstaluj a aktualizuj pouze kernel (žádný compiz a spol = na sda1 je málo místa!)
-
jakmám aktualizovat ten kerenl, co je za aktualizaci?
po první instalaci a restartu, když ti naběhne systém, tak ti navrhne aktualizace a tam vše "odtrhej" a nech jen linux-image..., linux-headers.....
to rozdělení disku již asi máš ?!
-
jj na ten disk jsem se dostal, kolik ma byt mista na tom usb diku? 100 stači?
mělo by stačit
Proveď reboot a začni znovu s luksformat -t ext3 /dev/sda2
You need to type YES and then twice your LUKS password. This password is very important, because you will need it to access your hard drive. It should be good and long enough, and don't forget it! If your password uses upper and lower case letters of the english alphabet and the ten digits, then that's 62 possibilities per character. Six binary bits can encode 64 possibilities, so each character, if it's random, gives about 6 bits of security. You want about 128 bits for good security, so you need about 21 random characters in your password. Words and phrases have surprisingly little randomness, so if you use words or phrases or anything non-random, you need a MUCH longer passphrase. An estimate by Shannon puts english words at about two bits per character, so you would need about sixty characters in your passphrase. Any passphrase that uses a quote from Bartlets quotes or a famous book would be easily broken.
-
tak jsme na to koenčne prišli (kiflik - přišel), komu to nejde boot z usb tak musite vše co je na USB dat do složky /boot/
a pak změnit v menu.lst /boot/...vmlinuz....tak jak je to na obrazku.
[attachment deleted by admin]
-
ahoj, tak to zkoušim na HH a hned mam prvni problem s
modprobe aes
WARNING: Error inserting padlock_aes (/lib/modules/2.6.24-16-generic/kernel/drivers/crypto/padlock-aes.ko): No such device
nevíš co stím?
-
no dost dobrej navod, ale zajima me, co se stane, kdyz ten disk vyndam a kouknu na nej, uvidim prd a co kdyz jej budu chtit nejak desifrovat?
pak dalsi vec, nemusim nikde zadavat heslo? TO je nejak na ty flesce?