Нам есть, что скрывать Михаил Емельченков Хакер, номер #090, стр. 090-104-1 (Michael@Emeltchenkov.net) Шифрование дисков с помощью Dm-crypt Оставлять информацию незашифрованной - значит подвергать свои данные опасности. Сегодня я расскажу тебе, с помощью чего, как и зачем можно шифровать данные в ОС Linux, начиная от создания зашифрованного диска и заканчивая шифрованием временных данных. После прочтения этой статьи и применения полученных знаний на практике ты сможешь спать спокойно. Потребность в шифровании данных существовала с давних времен. Кто-то пытается оградить свои данные от конкурентов, кто-то играет в шпионов, кто-то – просто хакер, обеспокоенный возможными последствиями своих действий. В любом случае, у каждого человека так или иначе возникает необходимость в сохранении своих данных. В принципе, есть лишь два вида угрозы: раскрытие и видоизменение данных. Раскрытие данных означает то, что кому-то стал известен смысл информации. Последствия могут быть самые разные. Например, если похищен текст книги, над которой работали многие месяцы, то потери авторов могут составить несколько тысяч долларов, а если книга уже издана, то похищение ее текста может создать книге дополнительную рекламу. Другое дело — искаженная информация. Она представляет гораздо большую опасность. Например, если данные организации об инвентарных описях или списках заказов будут стерты, то работа парализуется надолго. Существует несколько способов шифрования в Linux: * Шифрование отдельных файлов (выполняется с помощью GnuPG). * Шифрование дисков (можно выполнить с помощью Dm-crypt, а посредством Dm-crypt — создать виртуальный шифрованный диск, который будет располагаться в физическом файле на диске). Device-mapper – новая инфраструктура ядра Linux 2.6, которая позволяет создавать виртуальные устройства, работающие поверх физических. Dm-crypt отличается от Cryptoloop более чистым кодом и удобством в настройке. Я рассмотрю применение Dm-tools для Debian и Gentoo. Для остальных дистрибутивов процедуры настройки будут аналогичны. Установка Dm-crypt Сначала необходимо настроить конфигурацию ядра, запустив графическую оболочку для его настройки: # cd /usr/src/linux # make menuconfig Необходимые опции ядра // Подключаем опции, имеющие статус разрабатываемых или экспериментальных 1. Code maturity level options -> Prompt for development and/or incomplete code/drivers // Данная опция необходима для корректной работы с udev 2. General setup -> Support for hot-pluggable devices // Поддержка непосредственно самого Device-mapper 3. Device Drivers -> Multi-device support (RAID and LVM) -> Device mapper support // Поддержка шифрования через Device-mapper 4. Device Drivers -> Multi-device support (RAID and LVM) -> Crypt target support // Поддержка алгоритма шифрования AES 5. Cryptographic options -> AES cipher algorithms // Поддержка алгоритма хэширования SHA1 6. Cryptographic options -> SHA1 digest algorithm // Поддержка виртуальных RAM-дисков 7. Device Drivers -> Block devices -> RAM disk support // Поддержка так называемого начального RAM-диска 8. Device Drivers -> Block devices -> RAM disk support -> Initial RAM disk (initrd) support |