Amit megvalósít:

Egy cryptfs-sel titkosított partíciót automatikusan, jelszó kérdezése nélkül, felcsatolni úgy, hogy a kulcs a pendrive-on van.

Előfeltételek

A cryptsetup és sharutils csomagokra lesz szükség.

Ellenőrizzük a device mapper működését:

root@test:~# ls -L /dev/mapper/control
/dev/mapper/control

és a titkosító kernel modulok működését:

root@test:~# cat /proc/crypto
[...]
name          : sha256
driver        : sha256-generic
module        : sha256
[...]
name          : aes
driver        : aes-i586
module        : aes_i586
[...]

Amiről a konkrét példa szól

A titkosítandó partíció
/dev/hda5 (/home)
A könyvtar ahova az adatokat elmentjük a /home-ból
/srv/home
A pendrive partíció neve (label)
secret
A pendrive partíció fájlrendszere
ext2
A titkosításnál használt kulcs
root.key (és a secret kötet gyökerén található)

Minden parancsot root-ként adjunk ki.

Figyelem adatvesztésért felelősséget nem vállalok! Mindenki járjon el kellő elővigyázatossággal!

A partíció előkészítése

Mentsünk le minden információt a partícióról:

cd /home
cp -arvx . /srv/home/

Csatoljuk le a /home partíciót:

umount /home

Majd minden információt tüntessünk el róla:

dd if=/dev/urandom of=/dev/hda5

Pendrive előkészítése

Figyelem ennél a műveletnél a pendrive-on tárolt adatok elvesznek!

Készítsünk egy ext2-es partíciót a pendrive-ra, ha a fat nem jó nekünk.

cfdisk /dev/sda

Formázzuk meg úgy az eszközt, hogy nevet (label) adunk a partíciónak.

fat
mkfs.vfat -n “secret” /dev/sda1
ext2
mkfs.ext2 -L “secret” /dev/sda1

Jelen esetben:

mkfs.ext2 -L “secret” /dev/sda1

Ez ahhoz kell, hogy később egyszerűen tudja azonosítani az udev az eszközt.

Csatoljuk fel a pendrive-ot, hogy a kulcsot már eleve oda generáljuk. (Atya tanácsára)

mount /dev/disk/by-label/secret /mnt/usb/pendrive

A partíció titkosítása

Generáljuk le a kulcsot:

head -c 2880 /dev/urandom | uuencode -m - | head -n 65 | tail -n 64 > /mnt/usb/pendrive/root.key

A fenti sor a /mnt/usb/pendrive könyvtár root.key fájljába véletlen karaktersorozatot generál, amit később kulcsként használunk.

Ezután jöhet a partíció titkosítása:

cryptsetup -c aes-cbc-essiv:sha256 --key-file /mnt/usb/pendrive/root.key luksFormat /dev/hda5

Nyissuk meg az eszközt:

cryptsetup --key-file /mnt/usb/pendrive/root.key luksOpen /dev/hda5 home

Ezzel létrejön egy /dev/mapper/home kötet.

Akár le is csatolhatjuk a pendrive-ot:

umount /mnt/usb/pendrive

Most már megformázhatjuk az eszközt a kedvenc fájlrendszerünkre:

mkfs.ext3 /dev/mapper/home

Ezután fel lehet csatolni és visszamásolni az adatokat.

mount /dev/mapper/home /home
cd /srv/home
cp -axrv . /home


UDEV tanítása

Ehhez a /etc/udev/rules.d/z20_persistent.rules fájlt kell szerkeszteni:

# UUID and volume label
KERNEL=="*[!0-9]", ATTR{removable}=="1", GOTO="no_volume_id"
IMPORT{program}="vol_id --export $tempnode"
ENV{ID_FS_UUID}=="?*",          ENV{ID_FS_USAGE}=="filesystem|other|crypto", \
       SYMLINK+="disk/by-uuid/$env{ID_FS_UUID}"
ENV{ID_FS_LABEL_SAFE}=="?*",    ENV{ID_FS_USAGE}=="filesystem|other", \
       SYMLINK+="disk/by-label/$env{ID_FS_LABEL_SAFE}"

sor után, ez a fájl vége felé van, közvetlenül írjuk be:

ENV{ID_FS_LABEL_SAFE}=="secret", ENV{ACTION}=="add", RUN+="/usr/local/sbin/cpmount"

Ennek a sornak a lényege:

ENV{ID_FS_LABEL_SAFE}==”secret”
a program akkor fog lefutni, ha a partíció neve megegyezik secret-tel
ENV{ACTION}==”add”
és csak akkor ha éppen most lett csatlakoztatva a pendrive
RUN+=”/usr/local/sbin/cpmount”
ha az előző két feltétel teljesül, akkor lefuttatja a /usr/local/sbin/cpmount scriptet.

cpmount beszerzése

Letölthető: cpmount  .asc 

A script elején a

DEBUG=1                               # legyen-e loggolas
DISK="/dev/disk/by-label/secret"      # itt kell megadni, hogy mi a kulcsot
                                      # tartalmazo disk particio neve (label)
FS_TYPE="ext2"                        # a pendrive fajlrendszere
MOUNT="/mnt/usb/pendrive"             # ahova ideiglenesen fel lesz csatolva
KULCS="root.key"                      # a kulcs neve, relativ a MOUNT-tol nezve
DEV="/dev/hda5"                       # annak az eszkoznek a neve, ami
                                      # titkositva lett
DEV_NAME="home"                       # itt lehet megadni, hogy a cryptosetup
                                      # milyen neven hozza letre a pszeudo-
                                      # eszkozt
DEV_MOUNT="/home"                     # vegso soron hova legyen felmountolva
                                      # a titkositott particio
USB_WAIT=1                            # ennyi masodpercet var amig megprobalja
                                      # felcsatolni az usb eszkozt

változókat kell átnézni, hogy megfelelnek-e a saját rendszerünk paramétereinek. Minden javítást a scripthez szívesen fogadok!

Másoljuk a letöltött cpmount scriptet a /usr/local/sbin könyvtárba és ellenőrizzük, hogy rajta van-e a futtatási jogosultság.

A mechanizmus kipróbálása

Csatoljuk le a pendrive-ot, ha még nem tettük meg, és húzzuk ki.

umount /mnt/usb/pendrive

Csatoljuk le a /home -ot.

umount /home

Zárjuk be a titkosított eszközt:

cryptsetup luksClose /dev/mapper/home

Vegyünk egy mély levegőt és dugjuk vissza a pendrive-ot.

Ha a script-ben a DEBUG változót 1-re állítottuk, a syslog-ban megjelennek az üzenetek, amik megmutatják, hogy sikerült-e a /home felcsatolása vagy nem.

A syslog-ban valami hasonlót kell látnunk:

mount_home: Megvan a pendrive...
mount_home: Pendrive felcsatolasa: [/dev/disk/by-label/secret] -> [/mnt/usb/pendrive]
moria mount_home: Crypto device inicializalasa megtortent.
mount_home: [/home] felcsatolva
mount_home: [/mnt/usb/pendrive] lecsatolva

Ha itt hibát nem látunk, valószínűleg a /home kötetünk a helyére került, minden adatunkkal. :)

Ha akarjuk a pendrive-ot eltávolíthatjuk.

A leírás a Linuxbox oldalról származik.