Amit megvalósít:
Egy cryptfs-sel titkosított partíciót automatikusan, jelszó kérdezése nélkül, felcsatolni úgy, hogy a kulcs a pendrive-on van.
Előfeltételek
A cryptsetup és sharutils csomagokra lesz szükség.
Ellenőrizzük a device mapper működését:
root@test:~# ls -L /dev/mapper/control /dev/mapper/control
és a titkosító kernel modulok működését:
root@test:~# cat /proc/crypto [...] name : sha256 driver : sha256-generic module : sha256 [...] name : aes driver : aes-i586 module : aes_i586 [...]
Amiről a konkrét példa szól
- A titkosítandó partíció
- /dev/hda5 (/home)
- A könyvtar ahova az adatokat elmentjük a /home-ból
- /srv/home
- A pendrive partíció neve (label)
- secret
- A pendrive partíció fájlrendszere
- ext2
- A titkosításnál használt kulcs
- root.key (és a secret kötet gyökerén található)
Minden parancsot root-ként adjunk ki.
Figyelem adatvesztésért felelősséget nem vállalok! Mindenki járjon el kellő elővigyázatossággal!
A partíció előkészítése
Mentsünk le minden információt a partícióról:
cd /home cp -arvx . /srv/home/
Csatoljuk le a /home partíciót:
umount /home
Majd minden információt tüntessünk el róla:
dd if=/dev/urandom of=/dev/hda5
Pendrive előkészítése
Figyelem ennél a műveletnél a pendrive-on tárolt adatok elvesznek!
Készítsünk egy ext2-es partíciót a pendrive-ra, ha a fat nem jó nekünk.
cfdisk /dev/sda
Formázzuk meg úgy az eszközt, hogy nevet (label) adunk a partíciónak.
- fat
- mkfs.vfat -n „secret” /dev/sda1
- ext2
- mkfs.ext2 -L „secret” /dev/sda1
Jelen esetben:
mkfs.ext2 -L „secret” /dev/sda1
Ez ahhoz kell, hogy később egyszerűen tudja azonosítani az udev az eszközt.
Csatoljuk fel a pendrive-ot, hogy a kulcsot már eleve oda generáljuk. (Atya tanácsára)
mount /dev/disk/by-label/secret /mnt/usb/pendrive
A partíció titkosítása
Generáljuk le a kulcsot:
head -c 2880 /dev/urandom | uuencode -m - | head -n 65 | tail -n 64 > /mnt/usb/pendrive/root.key
A fenti sor a /mnt/usb/pendrive könyvtár root.key fájljába véletlen karaktersorozatot generál, amit később kulcsként használunk.
Ezután jöhet a partíció titkosítása:
cryptsetup -c aes-cbc-essiv:sha256 --key-file /mnt/usb/pendrive/root.key luksFormat /dev/hda5
Nyissuk meg az eszközt:
cryptsetup --key-file /mnt/usb/pendrive/root.key luksOpen /dev/hda5 home
Ezzel létrejön egy /dev/mapper/home kötet.
Akár le is csatolhatjuk a pendrive-ot:
umount /mnt/usb/pendrive
Most már megformázhatjuk az eszközt a kedvenc fájlrendszerünkre:
mkfs.ext3 /dev/mapper/home
Ezután fel lehet csatolni és visszamásolni az adatokat.
mount /dev/mapper/home /home cd /srv/home cp -axrv . /home
UDEV tanítása
Ehhez a /etc/udev/rules.d/z20_persistent.rules fájlt kell szerkeszteni:
# UUID and volume label
KERNEL=="*[!0-9]", ATTR{removable}=="1", GOTO="no_volume_id"
IMPORT{program}="vol_id --export $tempnode"
ENV{ID_FS_UUID}=="?*", ENV{ID_FS_USAGE}=="filesystem|other|crypto", \
SYMLINK+="disk/by-uuid/$env{ID_FS_UUID}"
ENV{ID_FS_LABEL_SAFE}=="?*", ENV{ID_FS_USAGE}=="filesystem|other", \
SYMLINK+="disk/by-label/$env{ID_FS_LABEL_SAFE}"
sor után, ez a fájl vége felé van, közvetlenül írjuk be:
ENV{ID_FS_LABEL_SAFE}=="secret", ENV{ACTION}=="add", RUN+="/usr/local/sbin/cpmount"
Ennek a sornak a lényege:
- ENV{ID_FS_LABEL_SAFE}==”secret”
- a program akkor fog lefutni, ha a partíció neve megegyezik secret-tel
- ENV{ACTION}==”add”
- és csak akkor ha éppen most lett csatlakoztatva a pendrive
- RUN+=”/usr/local/sbin/cpmount”
- ha az előző két feltétel teljesül, akkor lefuttatja a /usr/local/sbin/cpmount scriptet.
cpmount beszerzése
A script elején a
DEBUG=1 # legyen-e loggolas
DISK="/dev/disk/by-label/secret" # itt kell megadni, hogy mi a kulcsot
# tartalmazo disk particio neve (label)
FS_TYPE="ext2" # a pendrive fajlrendszere
MOUNT="/mnt/usb/pendrive" # ahova ideiglenesen fel lesz csatolva
KULCS="root.key" # a kulcs neve, relativ a MOUNT-tol nezve
DEV="/dev/hda5" # annak az eszkoznek a neve, ami
# titkositva lett
DEV_NAME="home" # itt lehet megadni, hogy a cryptosetup
# milyen neven hozza letre a pszeudo-
# eszkozt
DEV_MOUNT="/home" # vegso soron hova legyen felmountolva
# a titkositott particio
USB_WAIT=1 # ennyi masodpercet var amig megprobalja
# felcsatolni az usb eszkozt
változókat kell átnézni, hogy megfelelnek-e a saját rendszerünk paramétereinek. Minden javítást a scripthez szívesen fogadok!
Másoljuk a letöltött cpmount scriptet a /usr/local/sbin könyvtárba és ellenőrizzük, hogy rajta van-e a futtatási jogosultság.
A mechanizmus kipróbálása
Csatoljuk le a pendrive-ot, ha még nem tettük meg, és húzzuk ki.
umount /mnt/usb/pendrive
Csatoljuk le a /home -ot.
umount /home
Zárjuk be a titkosított eszközt:
cryptsetup luksClose /dev/mapper/home
Vegyünk egy mély levegőt és dugjuk vissza a pendrive-ot.
Ha a script-ben a DEBUG változót 1-re állítottuk, a syslog-ban megjelennek az üzenetek, amik megmutatják, hogy sikerült-e a /home felcsatolása vagy nem.
A syslog-ban valami hasonlót kell látnunk:
mount_home: Megvan a pendrive... mount_home: Pendrive felcsatolasa: [/dev/disk/by-label/secret] -> [/mnt/usb/pendrive] moria mount_home: Crypto device inicializalasa megtortent. mount_home: [/home] felcsatolva mount_home: [/mnt/usb/pendrive] lecsatolva
Ha itt hibát nem látunk, valószínűleg a /home kötetünk a helyére került, minden adatunkkal. :)
Ha akarjuk a pendrive-ot eltávolíthatjuk.
A leírás a Linuxbox oldalról származik.
“Cryptfs partíció felcsatolása USBStick segítségével automatikusan” bejegyzéshez egy hozzászólás