Нам есть, что скрывать

Михаил Емельченков

Хакер, номер #090, стр. 090-104-4

# swapoff

# dd if=/dev/urandom of=/dev/sda5 bs=1M

После этого можно перезагрузиться и начать использовать новый зашифрованный своп. Пароль при загрузке запрашиваться не будет.

Шифрование home-раздела

Далее создадим шифрованный home-раздел:

1. Затираем раздел случайными данными:

# dd if=/dev/urandom of=/dev/sdb1 bs=1M

Где /dev/sdb1 – раздел, на котором будет располагаться шифрованный диск, а michael – имя логического диска (/dev/mapper/michael). Внимание: пароль должен совпадать с паролем логина.

# cryptsetup –y create michael /dev/sdb1

2. Проверим, что это работает:

# dmsetup ls

michael (254, 1)

cryptswap (254, 0)

3. Создаем файловую систему Ext3 (естественно, вместо Ext3 может выступать любая ФС):

# mke2fs -j /dev/mapper/michael

4. Отмонтируем раздел:

# dmsetup remove michael

В случае использования целого диска, а не раздела, можно везде указывать /dev/sdb вместо /dev/sdb1.

Для автомонтирования раздела скачиваем (ftp.debian.org/debian/pool/main/libp/libpam-mount/) и устанавливаем libpam-mount:

# dpkg –i libpam-mount_0.9.22-6_i386.deb

В случае с Gentoo скачиваем ebuild с bugs.gentoo.org/attachment.cgi?id=64090 и распаковываем его в /usr/local/portage/sys-libs. Далее добавляем строчку в /etc/make.conf:

# vi /etc/make.conf

PORTDIR_OVERLAY=/usr/local/portage

Собираем pam_mount (сначала добавим строчку в /etc/portage/package.keywords, так как он помечен нестабильным):

# echo "sys-libs/pam_mount ~x86" >> /etc/portage/package.keywords

# emerge pam_mount

Для Debian процесс настройки заключается в редактировании конфигурационных файлов /etc/login.defs и /etc/pam.d/{common-auth,common-session,pam_mount.conf}:

# vi /etc/pam.d/common-auth

auth optional pam_mount.so use_first_pass

# vi /etc/pam.d/common-session

session optional pam_mount.so

# vi /etc/security/pam_mount.conf

volume michael crypt - /dev/sdb1 /home/michael cipher=aes - -

# vi /etc/login.defs

CLOSE_SESSIONS yes

Для Gentoo ситуация схожа:

1. Добавляем в файл /etc/pam.d/login строки:

# vi /etc/pam.d/login

auth optional /lib/security/pam_mount.so use_first_pass

session optional /lib/security/pam_mount.so

2. Добавляем в файл /etc/security/pam_mount.conf строку:

# vi /etc/security/pam_mount.conf

volume michael crypt - /dev/sdb1 /home/michael cipher=aes - -

После этого входим под пользователем michael. Диск должен автоматически примонтироваться на /home/michael. Беда в том, что права доступа у каталога будут root:root. Необходимо их сменить на пользовательские:

# chown michael:users /home/michael

Кроме того, существует возможность шифровать раздел не паролем логина, а отдельно сгенерированным ключом. В этом случае можно легко сменить пароль логина без необходимости решифрации диска. Правда, зная пароль логина, можно легко получить этот ключ. Поэтому использование данного способа шифрования я считаю неоправданным. Другое дело, если ключ находится на внешнем носителе, например на USB-флешке. Тогда даже, зная пароль, но, не имея флеш-носителя, расшифровать раздел будет невозможно.