Šifrování disku + USB klíčenka jako boot

[kiflik]

Protože jsem již přišel o NB s daty, tak jsem začal šifrovat HDD a boot přesunul na USB klíčenku. Třeba to někomu k něčemu bude.

Zasunout do USB klíčenku a nabootovat z Live CD – 7.10, dát instalovat...

zvolit rozdělení disku (ručně) - USB klíčenka se u mě hlásí jako sdb, HDD jako sda

na klíči(sdb) vytvořit oddíl cca 200 Mb, ext3 připojit jako /boot (jako poslední oddíl - za fat, pokud budete klíčenku chtít používat pod WIN např.  /dev/sdb2 )

na hdd(sda) vytvořit oddíl 2,5Gb a více, ext3 připojit jako / (/dev/sda1 nyní se použije jako root, později bude využit jako swap)

na hdd(sda) vytvořit oddíl pro systém a data XXXGb bez připojení (/dev/sda2 not used - bez file systému = budoucí /, /home atd.)

dokončit instalaci systému, restart

Jdeme na věc - házíme do terminálu

sudo passwd root
sudo su

povolit zdroj: nano /etc/apt/sources.list
deb http://archive.canonical.com/ubuntu gutsy partner

apt-get update
apt-get install cryptsetup

modprobe dm-crypt
modprobe dm-mod
modprobe aes
modprobe sha256
echo dm-crypt >> /etc/modules
echo dm-mod >> /etc/modules
echo aes >> /etc/modules
echo sha256 >> /etc/modules

luksformat -t ext3 /dev/sda2
cryptsetup --key-size 256 luksFormat /dev/sda2
cryptsetup luksOpen /dev/sda2 croot
mkfs.ext3 /dev/mapper/croot
mount /dev/mapper/croot /mnt

přenést systém
cd /mnt
cp -xa / .
(včetně tečky!)

připojení systému
cd /
mount --bind proc mnt/proc
mount --bind sys mnt/sys
mount --bind dev mnt/dev
chroot /mnt
mount /dev/sdb2 boot

připojení šifrovaných oddílů: nano /etc/crypttab
croot             /dev/sda2            none                 luks
#cswap             /dev/sda1            /dev/urandom         swap

upravit připojení disků - zakomentovat (#) řádek – staré / (sda1): nano /etc/fstab
#UUID=xyzxyzxyz.......  /  ext3    defaults,errors=remount-ro 0       1

a dopsat nové připojení šifrovaných oddílů
/dev/mapper/croot       /       ext3    defaults,errors=remount-ro      0      1
#/dev/mapper/cswap       none    swap    sw      0       0

upravit grub na klíčence:
cd /boot
update-initramfs -u
nano /boot/grub/menu.lst

změnit řádek:
kernel   /vmlinuz-2.6.22-14-generic root=UUID=61916feb-4e66-40a5-aaf5-52764e1bff2d ro quiet splash
na:
kernel   /vmlinuz-2.6.22-14-generic root=/dev/mapper/croot ro defoptions=quiet splash

zmáčknout: Ctrl-D

reboot


Běžíme na šifrovaném oddílu croot a potřebujeme staré (/) změnit na swap

sudo su

vyčistit sda1 a vytvořit swap (to je doba.... ): dd if=/dev/urandom of=/dev/sda1 bs=16M

naformátovat sda1 jako swap

mkswap /dev/sda1

mkdir /dev/.static/dev/mapper

nastavit připojení šifrovaného swapu = cswap, odkomentovat (smazat #) u cswap: nano /etc/crypttab

připojit cswap, odkomentovat (smazat #) u cswap: nano /etc/fstab

reboot

Kontrola:
ls /dev/mapper
má vypsat: control  croot  cswap

cat /proc/swaps
vypíše:
Filename                                Type            Size        Used    Priority
/dev/mapper/cswap               partition      2501888  0         -1

Pozor:
Pokud dojde k aktualizaci jádra, je nutné zkontrolovat (upravit) řádek v grubu (jinak nenabootujete): nano /boot/grub/menu.lst
kernel    /vmlinuz-..... root=/dev/mapper/croot ro defoptions=quiet splash

Boot je na USB klíči a disk v NB je kompletně šifrován před nezvanými hosty, ale pokud ztratíte klíčenku nebo odejde do křemíkového nebe jste v … 

PS: lze samozřejmě vytvořit více klíčenek s /boot a "startovat" z libovolné nebo karty.

Nevím zda je vše „košer“, ale tímto postupem mám v provozu NB cca 2 měsíce a zatím OK.

Zdroj: net a spol.

[Pavel1TU]

  joo, dobrý postup, ale to testovat raději nebudu

data o která mi jde jsem dříve šifroval nějak, ale teď co je TrueCrypt už v grafice, používám Truecrypt - pro začátečníky asi nejjednodušší (kryptovaný soubor o definované velikosti - používám 4G - který se připojí jako disk )

Mám dotaz k tvému řešení :

1)  nebylo by lepší takto šifrovat jen jeden logický disk na NB ? Kvůli možné ztrátě dat ?
2) Co zálohovat, aby se při poškození bootu, nebo log. disku, kde je /"root" dal opět dešifrovat disk ?

Kamarád by chtěl také šifrovat NB, ale ještě si nevybral jak, kdybych chtěl použít tvé řešení, ale boot z NB a šifrovat jen logický disk s HOME ? Když budu mít zádfrhel, poradíš  ?

předem díky za odpovědi.

Pavel

[kiflik]

kdybych chtěl šifrovat jen určitý oddíl nebo adresář / soubor, použil bych EncFS http://wiki.ubuntu.cz/encfs?highlight=%28encfs%29

nebo celý /home a odblokovat jej při přihlášení, pak lze použít pam-encfs http://www.singularity.be/node/6344

nevím proč používat TrueCrypt, když EncFs mám již v distribuci, umožňuje totéž a existuje i to klikátko: http://www.getdeb.net/app.php?name=Cryptkeeper 
----
pokud chceš boot z NB = při instalaci vytvořit oddíl na HDD v NB cca 200Mb /boot, ext3 jako třeba /sda3 a v postupu
zaměnit: mount /dev/sdb2 boot (klíčenka)
za: mount /dev/sda3 boot  (zvolený oddíl na HDD)

jinak vše stejné
----
ještě jednou k USB klíčence, pokud ji používáte na přenos souborů i ve WIN
/boot oddíl musí být jako poslední za fat-kou, jinak vám milá okna při zasunutí zařvou, že disk není naformátován! a následujícího
oddílu s fat si neráčí vůbec všimnout, natož jej použít 
----
http://technet.idnes.cz/prolomit-lze-jakekoli-sifrovani-disku-staci-zmrazit-pamet-pax-/tec_denik.asp?c=A080221_230606_tec_denik_pka

[kiflik]

asi jsem to napsal složitě... rozdělení disku:

na /dev/sda si vytvořit:
/dev/sda1    ext3   /     formátovat ano   2500 MB
/dev/sda5    ext3  nic    formátovat ano  kolik chceš na budoucí systém včetně home

na /dev/sdb:
/dev/sdb1   asi fat32 (pokud ji chceš používat pod WIN) 
/dev/sdb2   ext3   /boot  formátovat ano 100 MB

Obrázky z instalace nemám 

[attachment deleted by admin]

[kiflik]

POZOR
v návodu je sda1 a sda2, ale ty máš sda1 a sda5... tak si to při instalaci změň (5 za 2 u sda) 

po prvním spuštění systému nic neinstaluj a aktualizuj pouze kernel (žádný compiz a spol = na sda1 je málo místa!)

[kiflik]

jakmám aktualizovat ten kerenl, co je za aktualizaci?

po první instalaci a restartu, když ti naběhne systém, tak ti navrhne aktualizace a tam vše "odtrhej" a nech jen linux-image..., linux-headers.....

to rozdělení disku již asi máš ?!

[kiflik]

jj na ten disk jsem se dostal, kolik ma byt mista na tom usb diku? 100 stači?

mělo by stačit

Proveď reboot a začni znovu s luksformat -t ext3 /dev/sda2

You need to type YES and then twice your LUKS password. This password is very important, because you will need it to access your hard drive. It should be good and long enough, and don't forget it! If your password uses upper and lower case letters of the english alphabet and the ten digits, then that's 62 possibilities per character. Six binary bits can encode 64 possibilities, so each character, if it's random, gives about 6 bits of security. You want about 128 bits for good security, so you need about 21 random characters in your password. Words and phrases have surprisingly little randomness, so if you use words or phrases or anything non-random, you need a MUCH longer passphrase. An estimate by Shannon puts english words at about two bits per character, so you would need about sixty characters in your passphrase. Any passphrase that uses a quote from Bartlets quotes or a famous book would be easily broken.

[1x23]

tak jsme na to koenčne prišli (kiflik - přišel), komu to nejde boot z usb tak musite vše co je na USB dat do složky /boot/
a pak změnit v menu.lst /boot/...vmlinuz....tak jak je to na obrazku.

[attachment deleted by admin]

[1x23]

ahoj, tak to zkoušim na HH a hned mam prvni problem s
 

Kód: [Vybrat]

modprobe aes
WARNING: Error inserting padlock_aes (/lib/modules/2.6.24-16-generic/kernel/drivers/crypto/padlock-aes.ko): No such device
nevíš co stím?

[Radius]

no dost dobrej navod, ale zajima me, co se stane, kdyz ten disk vyndam a kouknu na nej, uvidim prd a co kdyz jej budu chtit nejak desifrovat?

pak dalsi vec, nemusim nikde zadavat heslo? TO je nejak na ty flesce?